Router-Schwachstellen 2015, Teil 5: Ein Exploit-Kit für Router und die NetUSB-Schwachstelle in vielen Routern
Diesmal gibt es vor den Schwachstellen in SOHO-Routern einen Angriff darauf. Als kleines Beispiel, wieso man Schwachstellen besser beheben sollte.
22. Mai - Ein Exploit-Kit gegen Router
Am 22. Mai hat Kafeine ein Exploit-Kit beschrieben, dass nicht wie sonst üblich Windows-Rechner angreift, sondern Router.
Präparierte Webseiten stellen mit Hilfe von WebRTC und STUN-Requests wie bereits beschrieben die lokale IP-Adresse fest, um dann über bekannte Schwachstellen oder mit Hilfe von Default-Zugangsdaten Zugriff auf den Router zu erlangen. Danach werden dessen DNS-Einstellungen manipuliert, so dass die DNS-Abfragen an einen Server der Cyberkriminellen gehen. Die dann den Netzwerkverkehr ihrer Opfer beliebig umleiten können.
Am 18. Mai wurden die folgenden Router angegriffen:
- Asus
- AC68U
- RT56-66-10-12
- RTG32
- RTN10P
- RTN56U
- RTN66U
- BELK-PHILIPS (?)
- Belkin
- F5D7230-4
- F5D8236-4V2
- F9k1105V2
- F5D7231-4
- F5D7234-4
- D-Link
- D2760
- DIR-2740R
- DIR-600
- DIR-601
- DIR-604
- DIR-615
- DIR-645
- DIR-651
- DIR-810L
- DIR-826L
- DSLG604T
- WBR1310
- Edimax BR6208AC
- Linksys
- BEFW11S4 V4
- BEFW11S4 V4
- L000
- L120
- LWRT54GLV4
- WRT54GSV7
- WRT54GV8
- X3000
- Medialink WAPR300N
- Microsoft MN-500
- Netgear
- DG834v3
- DGN1000
- DGN1000B
- DGN2200
- DGN2200
- WNDR3400
- WNR834Bv2
- WPN824v3
- Netis
- WF2414
- WF2414
- TENDA 11N
- TP-Link
- ALL
- WR940N
- WR941ND
- WR700
- TRENDnet
- E300-150
- TW100S4W1CA
- TRIP
- TM01
- TM04
- Zyxel
- MVR102
- NBG334W
- NBG416
Ob Sie einen verdächtigen DNS-Server verwenden, können Sie mit dem F-Secure Router Checker prüfen.
19. Mai - Kritische Schwachstelle in vielen Routern
Am 19. Mai hat SEC Consult ein Security Advisory zu einer kritischen Schwachstelle in vielen Routern veröffentlicht.
Die Schwachstelle befindet sich in der Implementierung von NetUSB, einer von KCodes entwickelten proprietären Technologie zur Bereitstellung von USB Over IP. Darüber können zum Beispiel USB-Drucker oder externe Festplatten im lokalen Netz freigegeben werden.
Im Kernel-Treiber von NetUSB wurde eine stackbasierte Pufferüberlaufschwachstelle (CVE-2015-3036) gefunden. Zum Überlauf kommt es, wenn der Client während des Verbindungsaufbaus einen Namen sendet, der länger als 64 Zeichen ist. Ein Angreifer kann über die Schwachstelle Code einschleusen, der mit Kernel-Rechten ausgeführt wird.
Ebenfalls interessant: Offiziell ist für die Nutzung von NetUSB zwar eine Authentifizierung nötig, der dafür verwendete statische AES-Schlüssel ist aber sowohl im Kernel als auch in den Treibern für Windows und Mac OS X enthalten.
Laut SEC Consult sind mindestens 92 Geräte der Hersteller D-Link, Netgear, TP-Link, TRENDnet und ZyXEL verwundbar. Die Geräte weiterer 21 Hersteller, die NetUSB verwenden, wurden nicht getestet.
Im Allgemeinen ist NetUSB nur im LAN zugänglich, es wurden aber vereinzelt auch Router entdeckt, bei denen der betreffende Port (TCP, 20005) auch aus dem Internet zugänglich ist. Ob das evtl. Folge einer Fehlkonfiguration war oder generell so sein soll, ist nicht bekannt.
KCodes wurde von SEC Consult im Februar informiert, war aber nicht sehr kooperativ. Daraufhin wurden TP-Link und Netgear von SEC Consult direkt informiert, die restlichen betroffenen Hersteller über das CERT/CC und weitere CERTs.
Einige Hersteller haben zügig Firmware-Updates bereit gestellt, andere nicht. Weiterführende Informationen gibt es von D-Link, Netgear, TP-Link, TRENDnet und ZyXEL.
Als Workaround kann NetUSB teilweise über die Weboberfläche ausgeschaltet werden. Zumindest bei Netgear-Geräten kann die Schwachstelle aber trotzdem ausgenutzt werden. Netgear hat SEC Consult mitgeteilt, dass es keinen Workaround gibt. Weder kann der Port in der Firewall gesperrt noch der Service deaktiviert werden.
Das ist ja eine ganz entzückende Schwachstelle, die sich die Hersteller da eingefangen haben. Und genau so entzückend geht es in der nächsten Folge auch weiter.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Drucksache: IT Administrator 1.16 - MitM-Angriffe auf HTTPS
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die Router-Schwachstellen des Jahres 2015 als eBook
Vorschau anzeigen