collombo
MyBoerse.bz Pro Member
31C3: Uraltfehler und Cookies gefährden unzählige Router !
Auf der Suche nach einem lohnenden Angriffsziel stolperten die israelischen Sicherheitsexperten Lior Oppenheim und Shahar Tal über TR-069.
Dieses Protokoll dient zur Fernkonfiguration von DSL-Routern und macht den Port 7547 zum zweitwichtigsten Port im Internet.
Dummerweise nutzt die Mehrzahl aller Router die selbe Implementierung dieser Funktion - und die weist eklatante Schwachstellen auf.
TR-069 ist ein bidirektionales SOAP-Protokoll (XML über HTTP), welches zur Kommunikation zwischen DSL-Routern und ihren Gegenstellen dient.
Internetanbieter nutzen das Protokoll, dessen erste Fassung im Jahr 2004 veröffentlicht wurde, zur Fernkonfiguration der DSL-Router ihrer Kunden.
Seit dem vergangenen Jahr liegt die Version 1.4 des Protokolls vor.
Standardmäßig verwendet TR-069 den Port 7547 und eine Untersuchung der Universität von Michigan ergab, dass dieser inzwischen weltweit der zweithäufigste unter den offenen Ports ist - direkt hinter Port 80 (HTTP) und noch vor Port 443 (HTTPS).
Das sind schätzungsweise 45 Millionen Geräte.
Die Implementierung von TR-069 erfolgt in Form eines Connection-Request-Servers.
Im November 2014 scannten die israelischen Sicherheitsexperten in Zusammenarbeit mit Rapid 7 und der Universität von Michigan den gesamten IPv4-Adressbereich und machten dabei eine spannende Entdeckung.
Auf 52 Prozent der TR-069-fähigen Geräte läuft der CR-Server RomPager der US-Firma Allergro Software, die übrigen nutzen gSOAP (19%), Apache (15%), KTT-SOAP (8%) oder mini_httpd (6%).
Diese hohe Konzentration macht RomPager zu einem idealen Angriffsziel, doch es kommt noch schlimmer.
Auf 98,04 Prozent der Geräte ist RomPager in der völlig veralteten Version 4.07 installiert.
Diese stammt aus dem Jahr 2002 und ist damit älter als die erste Fassung von TR-069!
Die aktuelle Version RomPager 5.40 wurde auf keinem Gerät gefunden.
Dafür entdeckten die Forscher die Versionen 4.03 (0,51%), 4.34 (0,01%) und 4.51 (1,44%).
Kurzum: RomPager 4.07 läuft auf rund 200 Router-Modellen von 50 Herstellern.
Im Internet finden sich 11,33 Millionen Geräte, die hierfür den Port 7547 (Standard) nutzen.
Weitere 2,25 Millionen Geräte verwenden den Port 80.
Besonders viele dieser Router stehen in Russland und Südosteuropa, in Lateinamerika, West- und Nordafrika, im Nahen Osten sowie in Indien und Südostasien.
In Nordamerika, Westeuropa, Japan, China und Ozeanien sind sie hingegen kaum verbreitet.
Da ein erfolgreicher Angriff auf einen Router auch immer den Weg auf die Geräte hinter diesem ebnet, ist RomPager 4.07 eines der attraktivsten Angriffsziele im Internet.
Fehlt nur noch eine kritische Schwachstelle.
Oppenheim und Tal besorgten sich einen aktuellen Router des Typs TP-Link TD-W8961ND und siehe da: Die aktuelle Firmware dieses Geräts umfasst den zwölf Jahre alten RomPager 4.07, der offenbar immer in Verbindung mit dem Echtzeitbetriebssystem ZynOS für MIPS32 zum Einsatz kommt.
Und so kommt es wie es kommen muss: Bereits der Benutzername lässt sich für einen Angriff missbrauchen, da er ohne Längenprüfung per strcpy kopiert wird, so dass man mit überlangen Zeichenketten Zeiger überschreiben und eigenen Code im Speicher platzieren kann.
Doch ZynOS beherrscht keine dynamische Speicherallokation, weshalb die genaue Adresse vom Router-Modell und der Firmware-Version abhängt und sich diese Schwachstelle nicht für einen Generalangriff auf Millionen von Geräten eignet.
Eine zweite Schwachstelle, ebenfalls eine fehlende Längenprüfung vor strcpy, überschreibt den HTTP-Handler, ist aber auf den Port 80 limitiert.
Als zielführend erwies sich eine dritte Sicherheitslücke, die man mit Hilfe von Cookies auslöst.
RomPager 4.07 legt ein Array für zehn Cookies mit einer Länge von jeweils 40 Byte an.
Der Name des Cookies wird dabei in einen Ganzzahlenwert gewandelt und als Index für das Array verwendet.
Dies verschafft dem Angreifer Schreibzugriff auf den Speicher an einer relativen Position ausgehend von einem festen Ankerpunkt.
Mit Hilfe einiger Cookies kommt der Angreifer ohne Authentifizierung, dafür aber mit vollen Admin-Rechten auf die Konfigurationsoberfläche.
Die beiden Forscher demonstrierten ihren Angriff mit Hilfe eines eigenen Plug-ins für den Internetbrowser Chrome und verschafften sich damit live Zugriff auf einen betroffenen Router.
Angeblich funktioniert dieses Plug-in mit allen Routern, auf denen RomPager 4.07 läuft.
Hersteller und Port spielen dabei keinerlei Rolle.
Was nun?
TR-069 deaktivieren?
Dies ist auf betroffenen Geräten nicht möglich und führt unter Umständen zu einer instabilen DSL-Verbindung.
Da Benutzer keinen großen Spielraum haben, um dieses Problem zu lösen, informierten Oppenheim und Tal die Hersteller der Router.
Zu diesen gehören beispielsweise Arcor, ASUS, Buffalo, D-Link, Edimax, Huawei, Linksys, TP-Link, ZTE und ZyXEL.
Bisher hat einzig Huawei mit Firmware-Updates reagiert.
Es gibt auch eine Liste aller vermutlich betroffenen Geräte.
Allergro Software hatte die gefährliche Schwachstelle übrigens schon im Jahr 2005 entdeckt und behoben, doch die neuen Versionen des RomPager blieben im langen Update-Pfad stecken.
Dieser führt über den Hersteller des Chipsatzes und die Hersteller der Router bis zu den jeweiligen Internetanbietern, welche die Router vor der Auslieferung an ihre Kunden zumeist modifizieren.
Und so ist auch weiterhin keine schnelle Lösung in Sicht.
Auf der Suche nach einem lohnenden Angriffsziel stolperten die israelischen Sicherheitsexperten Lior Oppenheim und Shahar Tal über TR-069.
Dieses Protokoll dient zur Fernkonfiguration von DSL-Routern und macht den Port 7547 zum zweitwichtigsten Port im Internet.
Dummerweise nutzt die Mehrzahl aller Router die selbe Implementierung dieser Funktion - und die weist eklatante Schwachstellen auf.
TR-069 ist ein bidirektionales SOAP-Protokoll (XML über HTTP), welches zur Kommunikation zwischen DSL-Routern und ihren Gegenstellen dient.
Internetanbieter nutzen das Protokoll, dessen erste Fassung im Jahr 2004 veröffentlicht wurde, zur Fernkonfiguration der DSL-Router ihrer Kunden.
Seit dem vergangenen Jahr liegt die Version 1.4 des Protokolls vor.
Standardmäßig verwendet TR-069 den Port 7547 und eine Untersuchung der Universität von Michigan ergab, dass dieser inzwischen weltweit der zweithäufigste unter den offenen Ports ist - direkt hinter Port 80 (HTTP) und noch vor Port 443 (HTTPS).
Das sind schätzungsweise 45 Millionen Geräte.
Die Implementierung von TR-069 erfolgt in Form eines Connection-Request-Servers.
Im November 2014 scannten die israelischen Sicherheitsexperten in Zusammenarbeit mit Rapid 7 und der Universität von Michigan den gesamten IPv4-Adressbereich und machten dabei eine spannende Entdeckung.
Auf 52 Prozent der TR-069-fähigen Geräte läuft der CR-Server RomPager der US-Firma Allergro Software, die übrigen nutzen gSOAP (19%), Apache (15%), KTT-SOAP (8%) oder mini_httpd (6%).
Diese hohe Konzentration macht RomPager zu einem idealen Angriffsziel, doch es kommt noch schlimmer.
Auf 98,04 Prozent der Geräte ist RomPager in der völlig veralteten Version 4.07 installiert.
Diese stammt aus dem Jahr 2002 und ist damit älter als die erste Fassung von TR-069!
Die aktuelle Version RomPager 5.40 wurde auf keinem Gerät gefunden.
Dafür entdeckten die Forscher die Versionen 4.03 (0,51%), 4.34 (0,01%) und 4.51 (1,44%).
Kurzum: RomPager 4.07 läuft auf rund 200 Router-Modellen von 50 Herstellern.
Im Internet finden sich 11,33 Millionen Geräte, die hierfür den Port 7547 (Standard) nutzen.
Weitere 2,25 Millionen Geräte verwenden den Port 80.
Besonders viele dieser Router stehen in Russland und Südosteuropa, in Lateinamerika, West- und Nordafrika, im Nahen Osten sowie in Indien und Südostasien.
In Nordamerika, Westeuropa, Japan, China und Ozeanien sind sie hingegen kaum verbreitet.
Da ein erfolgreicher Angriff auf einen Router auch immer den Weg auf die Geräte hinter diesem ebnet, ist RomPager 4.07 eines der attraktivsten Angriffsziele im Internet.
Fehlt nur noch eine kritische Schwachstelle.
Oppenheim und Tal besorgten sich einen aktuellen Router des Typs TP-Link TD-W8961ND und siehe da: Die aktuelle Firmware dieses Geräts umfasst den zwölf Jahre alten RomPager 4.07, der offenbar immer in Verbindung mit dem Echtzeitbetriebssystem ZynOS für MIPS32 zum Einsatz kommt.
Und so kommt es wie es kommen muss: Bereits der Benutzername lässt sich für einen Angriff missbrauchen, da er ohne Längenprüfung per strcpy kopiert wird, so dass man mit überlangen Zeichenketten Zeiger überschreiben und eigenen Code im Speicher platzieren kann.
Doch ZynOS beherrscht keine dynamische Speicherallokation, weshalb die genaue Adresse vom Router-Modell und der Firmware-Version abhängt und sich diese Schwachstelle nicht für einen Generalangriff auf Millionen von Geräten eignet.
Eine zweite Schwachstelle, ebenfalls eine fehlende Längenprüfung vor strcpy, überschreibt den HTTP-Handler, ist aber auf den Port 80 limitiert.
Als zielführend erwies sich eine dritte Sicherheitslücke, die man mit Hilfe von Cookies auslöst.
RomPager 4.07 legt ein Array für zehn Cookies mit einer Länge von jeweils 40 Byte an.
Der Name des Cookies wird dabei in einen Ganzzahlenwert gewandelt und als Index für das Array verwendet.
Dies verschafft dem Angreifer Schreibzugriff auf den Speicher an einer relativen Position ausgehend von einem festen Ankerpunkt.
Mit Hilfe einiger Cookies kommt der Angreifer ohne Authentifizierung, dafür aber mit vollen Admin-Rechten auf die Konfigurationsoberfläche.
Die beiden Forscher demonstrierten ihren Angriff mit Hilfe eines eigenen Plug-ins für den Internetbrowser Chrome und verschafften sich damit live Zugriff auf einen betroffenen Router.
Angeblich funktioniert dieses Plug-in mit allen Routern, auf denen RomPager 4.07 läuft.
Hersteller und Port spielen dabei keinerlei Rolle.
Was nun?
TR-069 deaktivieren?
Dies ist auf betroffenen Geräten nicht möglich und führt unter Umständen zu einer instabilen DSL-Verbindung.
Da Benutzer keinen großen Spielraum haben, um dieses Problem zu lösen, informierten Oppenheim und Tal die Hersteller der Router.
Zu diesen gehören beispielsweise Arcor, ASUS, Buffalo, D-Link, Edimax, Huawei, Linksys, TP-Link, ZTE und ZyXEL.
Bisher hat einzig Huawei mit Firmware-Updates reagiert.
Es gibt auch eine Liste aller vermutlich betroffenen Geräte.
Allergro Software hatte die gefährliche Schwachstelle übrigens schon im Jahr 2005 entdeckt und behoben, doch die neuen Versionen des RomPager blieben im langen Update-Pfad stecken.
Dieser führt über den Hersteller des Chipsatzes und die Hersteller der Router bis zu den jeweiligen Internetanbietern, welche die Router vor der Auslieferung an ihre Kunden zumeist modifizieren.
Und so ist auch weiterhin keine schnelle Lösung in Sicht.
