Dipl.-Inform. Carsten Eilers

Zu Weihnachten 2014 gab es DDoS-Angriffe auf die Spiele-Netzwerke von Sony und Microsoft. Verantwortlich dafür war das Botnet "Lizard Stresser", und die Angriffe dienten "nur" dazu, für dessen Dienste Werbung zu machen.

Nachdem Brian Krebs über den Angriff berichtet hatte, nahmen die Cyberkriminellen dessen Website aufs Korn. Woraufhin Brian Krebs sich das Botnet mit Hilfe einiger Forscher genauer angesehen hat. Ihr Ergebnis: Die "Lizard Stresser"-Software läuft zu einem großen Teil auf SOHO-Routern, außerdem sind auch Profi-Router und andere Geräte sowie Linux-Systeme infiziert. Zugriff auf die Router verschafft sich die Schadsoftware über Default-Zugangsdaten.

Die haben Sie ja hoffentlich geändert, oder? Jedenfalls wenn es möglich ist und Ihr Router nicht (evtl. zusätzlich) hartkodierte Zugangsdaten verwendet. Dann hätten Sie nämlich schlechte Karten, wenn mal wieder ein Botnet Jagd auf neue Mitglieder macht.

5. Januar - Kein Patch für Pirelli-Router - seit fast 2 Jahren!

Eduardo Novella hat im Pirelli-Router P.DGA4001N des spanischen ISP Movistar Telefonica eine kritische Schwachstelle entdeckt: Der Zugriff auf alle Dateien inklusive Konfigurationsdateien und Skripte ist aus dem Internet ohne Authentifizierung möglich, so dass zum Beispiel private WPA-Schlüssel, WPS-PINs, Admin-Zugangsdaten, TR069- und WAN-Konfiguration, ... ausgespäht werden können. Außerdem sind zum Beispiel DoS-Angriffe durch Auslösen eines Reboots möglich.

Betroffen ist mindestens die Firmware-Version PDG_TEF_SP_4.06L.6.

Die Schwachstelle wurde von Eduardo Novella bereits im April 2013 an Pirelli und den ISP gemeldet, seitdem hat er von beiden nichts mehr gehört. Als Workaround sollte der Zugriff auf die Weboberfläche aus dem Internet ausgeschaltet werden. Falls sich natürlich bösartige Benutzer im lokalen Netz befinden, können die den Router dann trotzdem noch angreifen. Dagegen böte nur das Ausschalten der Weboberfläche Schutz. Aber dann lässt sich der Router nur noch ziemlich mühsam konfigurieren.

4. Januar - Schwachstellen in Asus-Routern

Joshua Drake hat herausgefunden, dass auf verschiedenen Asus-Routern ein Dienst namens infosvr läuft, der auf UDP-Port 9999 am LAN- und WAN-Anschluss lauscht. Der Service wird von einem Asus-Tool genutzt, um Router im Subnet zu finden. Er läuft mit root-Rechten und enthält eine Command-Execution-Schwachstelle, die ohne Authentifizierung ausgenutzt werden kann (CVE-2014-9583).

Die Schwachstelle wurde von Joshua Drake vor der Veröffentlichung des Asus-Updates veröffentlicht, da am 5.1. ein von Friedrich Postelstorfer entwickelter Exploit veröffentlicht wurde.

Betroffen sind mindestens folgende Router und Firmware-Versionen:

• DSL-AC68U mit Firmware 3.0.0.4.376_2158-g340202b
• DSL-N55U mit Firmware 3.0.0.4.374_4422-gc83c78f
• RT-AC55U mit Firmware 3.0.0.4.376_6587-gaa506e9
• RT-AC66R mit Firmware 3.0.0.4.376_2524-g0013f52 und 3.0.0.4.376_3602
• RT-AC68U mit Firmware 3.0.0.4.376_3626-g9a8323e
• RT-AC87U mit Firmware 3.0.0.4.378_3754
• RT-N12HP_B1 mit Firmware 3.0.0.4.374_1327
• RT-N16 mit Firmware 3.0.0.4.220
• RT-N56U mit Firmware 3.0.0.4.374_5656
• RT-N66U mit Firmware 3.0.0.4.376_1071-g8696125

Die Schwachstelle wurde von Asus am 12. Januar in Firmware-Version 3.0.0.4.376.3754 behoben.

Die freie Firmware asuswrt-merlin enthielt die Schwachstelle ebenfalls, hier wurde sie in Version 376.49_5 behoben.

Und auch die CellSpot-Router von T-Mobile USA waren von der Schwachstelle betroffen, hier wird sie von der am 25.11 veröffentlichte Firmware-Version TM-AC1900_3.0.0.4.376_3108 behoben.

Und damit sind wir am Jahresanfang angekommen. In der nächsten Folge geht es um die Schwachstellen, die nach dem Beginn der Serie Anfang September veröffentlicht wurden.

Carsten Eilers