Skip to content

Router-Schwachstellen 2015, Teil 16: Noch zwei Schwachstellen im Dezember

Der Überblick über die Router-Schwachstellen des Jahres 2015 nähert sich seinem Ende: Wir sind bei den letzten zwei (oder eigentlich: drei) Schwachstellen des Jahres angekommen! Das am 31. Dezember vorgestellte und eigentlich als krönenden Abschluss vorgesehene Tool zum Berechnen von Default-WLAN-Passwörtern habe ich ja bereits vorgestellt. Dafür gibt es einen neuen krönenden Abschluss!

23. Dezember - Kritische Schwachstelle im Netz von Kabel Deutschland/Vodafone

Alexander Graf hat eine kritische Schwachstelle in der Infrastruktur von Kabel Deutschland entdeckt.

Es gibt in jedem Router eine zusätzliche, verborgene Netzwerkverbindung zum internen Wartungsnetz von Kabel Deutschland. Darüber sind alle Modems im Kabelnetz über Telnet und SSH erreichbar. Sofern man das Passwort für das Wartungsnetz kennt. Alle benötigten Passwörter liegen jedoch im Router vor. Teilweise direkt als Klartext, teilweise als leicht zu knackende Hash-Werte. Da für alle Zwangsrouter die gleichen Zugangsdaten verwendet werden, kann ein Angreifer sich darüber Zugriff auf die Router aller Kunden verschaffen. Und dann zum Beispiel beliebige Linux-Binaries einschleusen, um zum Beispiel den Netzwerkverkehr zu belauschen.

Eine Schwachstelle bei der Verteilung der VoIP-Zugangsdaten erlaubt es darüber hinaus, diese auszuspähen. Mit diesen Daten können dann zum Beispiel Telefonate auf fremde Kosten geführt werden.

Die Schwachstellen wurden über die c't Anfang November an Kabel Deutschland gemeldet und nach gut einem Monat behoben. Die Kunden im Wartungsnetz sind nun voneinander isoliert und die Provisionierung wurde abgesichert.

Details zu den Schwachstellen hat Alexander Graf am 27. Dezember auf dem 32C3 vorgestellt.

31. Dezember - TPLINK hat eine geniale Idee für ein Passwort!

Was ist ein vorhersagbares (oder besser: berechenbares) Passwort im Vergleich zu einem vorgesagten Passwort? Also, wenn das jetzt nicht der krönende Abschluss ist, weiß ich nicht, was noch kommen könnte:

TP-LINK verwendet als Wifi-Passwort seines Routers TL-WR702N die letzten 8 Zeichen der MAC-Adresse, wie Mark C. (@LargeCardinal) festgestellt hat. Und die letzten 6 Zeichen davon sind die letzten 6 Zeichen der SSID!

Nur zur Erinnerung: Die MAC-Adresse ist die Hardware-Adresse des Routers im Netz. Die lässt sich herausfinden (sonst wäre der Router ja gar nicht erreichbar). Und die SSID ist der Name des Wifi-Netzes, den posaunt der Router sogar in der Gegend herum.

Das reicht Ihnen noch nicht? Bitte sehr: Die ersten drei Oktett der MAC-Adresse definieren den Hersteller und sind öffentlich dokumentiert.

Die von @LargeCardinal getwitterte MAC-Adresse ist 30B5C279FA76
und TP-Links Vendor-MAC ist   30B5C2
Die SSID ist TP-Link_79FA76
Und das Wifi-Passwort ist C279FA76     Ups...

Da bleibt nicht mehr viel, was ein Angreifer zu raten hätte.

Aber keine Angst: Der Techniker Twitter-Account von TP-Link ist informiert und leitet das "Feedback" ans Produkt-Team weiter.

Zum Abschluss: Vorträge auf dem 32C3, dem 32. Chaos Communication Congress

29. Dezember - Analyse von IoT-Firmware

Andrei Costin hat auf dem 32C3 die Analyse der Firmware von IoT-Devices einschließlich Routern beschrieben.

Da keine konkreten Schwachstellen genannt wurden, gehört der Vortrag hier eigentlich nicht hin. Er ist aber aus zwei Gründen trotzdem relevant:

  1. Ursache allen Übels ist im Allgemeinen die Router-Firmware, nicht die Hardware. Daher ist es durchaus interessant, wie sich die im großen Maßstab untersuchen lässt.
  2. Auch wenn keine konkreten Schwachstellen vorgestellt wurde, gab es Informationen über Schwachstellen allgemein. Allein schon die Information in einem der beiden Whitepaper zum Vortag, wie leicht Hintertüren gefunden werden konnten, zeigt, wie unsicher viele Firmwares sind. Und Hintertüren oder Default-Zugangsdaten, gerne auch hart kodiert, gab es 2015 in den Routern ja so einige.

29. Dezember - Wireless (In-)Security

Jiska Classen hat auf dem 32C3 einen Vortrag über "Building and Breaking Wireless Security" gehalten. Vorgestellt wurden einige Angriffe bzw. Anwendungsmöglichkeiten auf physikalischer Ebene. Die Schwachstellen ebenso wie die Schutzmaßnahmen müssen also gar nicht unbedingt in der Firmware sitzen, auch auf physikalischer Ebene lässt sich da was machen. Aber darauf näher einzugehen würde hier erstens zu weit gehen und ist zweitens nicht mein Fachgebiet, dafür wenden Sie sich besser an einen Elektro- oder Nachrichtentechniker. Oder sehen sich das Video des Vortrags an.

FERTIG!

Das war es dann - der Überblick über die Schwachstellen in SOHO-Routern im Jahr 2015 ist vollendet. Hier gibt es ein (natürlich kostenloses) ePub-eBook, in dem alle Schwachstellen in der richtigen chronologischen Reihenfolge aufgeführt sind.

Fazit

Bleibt die Frage nach dem Fazit aus all den Schwachstellen. Schwachstellen gibt es immer wieder, bedenklicher ist, mit was für Schwachstellen wir es bei den SOHO-Routern immer wieder zu tun bekommen:

  • Default-Zugangsdaten, gerne auch hart-kodiert, so dass der Benutzer sie nicht ändern kann. Tut mir leid, dafür fehlt mir jedes Verständnis, das sind in meinen Augen Hintertüren. Ob die nun böswillig eingebaut wurden, oder weil man es dem eigenen Support einfach machen wollte oder weil man gar nicht darüber nachgedacht hat, was man da macht, das möchte ich gar nicht wissen. Wer eine Hintertür in seine Produkte einbaut ist bei mir unten durch, der muss nicht damit rechnen, dass ich in nächster Zeit irgend etwas von ihm kaufe.
  • Weitere Hintertüren, oft mehr oder weniger gut versteckt - OK, kein Kommentar, ich bin ja höflich.
  • Formulare ohne CSRF-Schutz, Umgehen der Authentifizierung durch direkt aufrufbare Ressourcen - das sind im Web Anfängerfehler. Die Router-Hersteller verwenden seit wie vielen Jahren webbasierte Oberflächen - 15? 20? Und machen immer noch Anfängerfehler? Auch dafür fehlt mir jedes Verständnis. Und die wollen dann auch noch im IoT-Markt mitmischen? Ich sehe düstere Zeiten auf uns zukommen!
  • Die restlichen Schwachstellen - auch meist aus der Kategorie "Anfängerfehler". Wie oft wechseln die Hersteller eigentlich ihre Firmware-Entwickler, mit jedem neuen Modell? Der Nachschub kommt direkt von der Schulbank? Oder wieso machen die so viele Anfängerfehler?

Sorry Leute, das muss wirklich besser werden. Dass das möglich ist, beweist AVM. Die Fritzbox hatte in der Vergangenheit durchaus schon Schwachstellen, 2015 ist sie aber nicht negativ aufgefallen. Wenn man davon absieht, dass der von Vodafone versehentlich sabotierte Zwangsrouter eine Fritzbox war.

Ach ja: Bisher war AVM auch immer sehr fix, wenn es darum ging, Schwachstellen zu beheben. Was man von vielen anderen Herstellern nicht gerade sagen kann. Was das zweite Problem der Router-Hersteller ist: Sie beheben die Schwachstellen oft zu langsam oder gar nicht, und selbst wenn sie behoben werden fehlt es meist an der Möglichkeit, die Patches "an den Mann zu bringen". Da sollte man sich wirklich mal was einfallen lassen. Aber bitte keine automatisierten Zwangs-Updates. Gerade der Router ist ein kritischer Teil der Infrastruktur, wann da ein Update installiert wird möchte ich schon selbst entscheiden. Denn wenn dabei was schief geht, habe ich ein gewaltiges Problem - ohne Router kein Internet (und bei VoIP auch kein Telefon!), und damit keine Möglichkeit, im Web nach Hilfestellungen und Fehlerkorrekturen zu suchen. Vom Download einer fehlerfreien Firmware ganz zu schweigen.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die Router-Schwachstellen des Jahres 2015 als eBook

Vorschau anzeigen
Die Übersicht über die Router-Schwachstellen des Jahres 2015 ist komplett. Allerdings auch etwas unübersichtlich: Filet-o-Firewall - ein neuer browserbasierter Angriff auf die Firewall Router-Schwachstellen 2015, Teil