Dipl.-Inform. Carsten Eilers

Das US-CERT warnt vor mehreren Schwachstellen in Seagates WLAN-Festplatten (Seagate Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage und LaCie Fuel):

• CVE-2015-2874: Für den Telnet-Zugang gibt es hart-kodierte Zugangsdaten (root/root). Ein Angreifer in Funkreichweite kann sich darüber also als root-Benutzer anmelden und erlangt die vollständige Kontrolle über die Festplatte.
• CVE-2015-2875: In der Default-Konfiguration kann ein Angreifer in Funkreichweite beliebige Dateien durch direkten Zugriff darauf herunter laden.
• CVE-2015-2876: In der Default-Konfiguration kann ein Angreifer in Funkreichweite beliebige Dateien in das Dateisystem /media/sda2 hochladen.

Betroffen sind die Firmware-Versionen 2.2.0.005 und 2.3.0.014, evtl. auch noch weitere. Die Schwachstellen wurden in Version 3.4.105 behoben.

Man beachte vor allem die hart-kodierte Zugangsdaten! Auch bei Routern ist das ein beliebter Fehler.

Da versucht man nun seit Jahren, den Benutzern bei zu bringen, dass sie sichere Passwörter verwenden sollen, und zwar für jeden Zweck ein anderes - und dann kommt immer wieder irgend ein Witzbold auf die Idee, Geräte oder auch Software mit hart-kodierten Zugangsdaten auszuliefern. Dann können wir ja auf die Passwörter auch ganz verzichten, wenn sowieso überall so eine Hintertür drin steckt.

Obwohl: Einen Vorteil hat das natürlich. Bei einem Missbrauch kann dem Opfer niemand vorwerfen, es hätte sein Gerät nicht ausreichend abgesichert. Wie soll der Benutzer es absichern, wenn es ab Werk eine hart-kodierte Hintertür enthält? Oder besser gesagt: Selbst wenn er ein zufällig erzeugtes Passwort verwendet hat schützt es nicht vor einem Angriff, der Angreifer spaziert einfach durch die Hintertür. Und erlangt dabei oft noch mehr Rechte als ein normaler Benutzer hat. Es ist echt zum rückwärts frühstücken.

Ach, und fürs Protokoll: Das sind die ersten festen Zugangsdaten in dieser Serie, aber bei weitem nicht die letzten.

So, dann machen wir mal chronologisch weiter:

31. August: Mehrere Schwachstellen in Belkin-Routern

Das US-CERT warnt vor einer Reihe von Schwachstellen in den Belkin-Routern N600 DB Wireless Dual Band N+, Model F9K1102 v2 mit Firmware 2.10.17 und möglicherweise auch älteren Versionen:

• CVE-2015-5987: Vom Router ausgehende DNS-Abfragen, zum Beispiel nach den Servern für Firmware-Updates oder NTP-Servern, enthalten vorhersagbare TXIDs. Ein Angreifer, der DNS-Antworten fälschen kann, kann den Router auf Server unter seiner Kontrolle leiten und zum Beispiel über eine präparierte Firmware die Kontrolle über das Gerät übernehmen.
• ohne CVE-ID: Firmware-Updates werden unverschlüsselt über HTTP übertragen, ein MitM kann die Firmware daher manipulieren oder das Update unterdrücken. Na, über diese Schwachstelle haben sich NSA und Co. sicher sehr gefreut.
• CVE-2015-5988: Per Default wird für die Weboberfläche kein Passwort gesetzt. Ein Angreifer im lokalen Netz kann sich daher als Administrator anmelden, und von außen können die Einstellungen über CSRF manipuliert werden.
• CVE-2015-5989: Wird in der Weboberfläche ein Passwort gesetzt, wird es auf dem Client(!) geprüft. Ein Angreifer im lokalen Netz kann das Prüfungsergebnis manipulieren und als Administrator auf die Weboberfläche zugreifen.
• CVE-2015-5990: Eine globale CSRF-Schwachstelle erlaubt einem Angreifer das Ausführen von Aktionen im Namen eines angemeldeten Benutzers, wenn der zum Beispiel eine präparierte Webseite aufruft. Sofern kein Passwort gesetzt wurde, muss der Benutzer nicht mal angemeldet sein.

Eine Lösung gibt es zur Zeit nicht. Wenn Ihr Gerät betroffen ist, setzen Sie ein sicheres Passwort für Weboberfläche und WLAN, um CSRF-Angriffe zumindest zu erschweren und das Eindringen eines Angreifers ins WLAN und damit ins lokale Netz zu verhindern. Gegen einen bösartigen Benutzer im LAN ist kein Schutz möglich, achten Sie also darauf, wer sich in Ihrem LAN aufhält.

Die DNS-Abfragen und HTTP-Verbindungen lassen sich nicht schützen, so lange es keine fehlerbereinigte Firmware gibt.

Also "Kein Passwort" ist ja fast noch schlimmer als ein bekanntes Passwort. Wenigstens ist es nicht fest kodiert und kann geändert werden. Was nur nicht viel hilft, da die Prüfung ganz einfach umgangen werden kann. Gibt es irgendwo Kurse, wie man Firmware nicht programmieren sollte? Vielleicht veranstaltet von NSA und Co. oder Cyberkriminellen? Zum Abschluss gibt es ein Zertifikat, das bestätigt, dass der Teilnehmer ganz doll sichere Firmware entwickeln kann? Denn so viele Fehler kann man heutzutage doch eigentlich gar nicht mehr machen ohne dass irgendwer was merkt und die Notbremse zieht.

In der nächsten Folge geht es um weitere Schwachstellen in Routern. Als erstes gibt es, wer hätte das erwartet, hart-kodierte Standardpasswörter.

Carsten Eilers