Post by NightHawk on Jan 15, 2008 12:54:56 GMT 1
Ungewollte Fernkonfiguration für Heim-Router
Dass Universal Plug and Play (UPnP) auf Routern zu Sicherheitsproblemen führen kann, ist seit längerem bekannt: Ohne Authentifizierung kann jeder Client aus dem LAN heraus beispielsweise Port-Forwarding aktivieren und so die Firewall durchbohren. Unter Umständen kann aber auch ein Angreifer von Außen den Router umkonfigurieren, wie die Sicherheitsspezialisten Petko Petkov und Adrian Pastor auf der Seite GNUCitizen berichten. Dazu bedarf es allerdings einer Cross-Site-Scripting-Schwachstelle im Authentifizierungsdialog des Routers, was aber nach Einschätzung der beiden nicht allzu selten vorkommt. Darüber ist es dem Bericht zufolge möglich, JavaScript im Browser im Kontext des Routers auszuführen und via XMLHttRequests mit der UPnP-API respektive dem SOAP-Interface des Routers zu kommunizieren.
Mit dem JavaScript lassen sich nicht nur Ports freischalten, je nach Router-Modell ist es möglich, weitere Konfigurationen zu ändern. Üblicherweise liefert ein Router mit UPnP-Unterstützung auf Anfrage sogar eine Antwort zurück, welche Dienste sich bei ihm via UPnP steuern lassen. Schlimmstenfalls lässt sich sogar die IP-Adresse des DNS-Server (SetDNSServer) manipulieren, um so Anfragen auf einen manipulierten Nameserver umzuleiten und gefälschte Adressen zurückzuliefern. Ein Opfer könnte so auf Phishing-Seiten landen, ohne es zu merken.
Bei den betroffenen Modellen handelt es sich dem Bericht nach um die im UK verbreiteten Router Speedtouch von Thomson und den BT Home Hub. Für einen erfolgreichen Angriff muss das Opfer aber, wie immer bei Cross-Site-Scripting, irgendeinen Link auf einer Webseite eines Angreifers klicken und auf dem Gerät muss UPnP aktiviert sein. Standardmäßig ist das bei zahlreichen Routern der Fall.
Tools wie NoScript schützen üblicherweise vor Angriffen mit schädlichem JavaScript. Petkov zeigt in seinem Bericht aber, wie sich Router auch über ActionScript in Flash-Applets umkonfigurieren lassen. Damit lassen sich JavaScript-Filter einfach umgehen. ActionScript-Filter gibt es bislang nicht, da dazu in Echtzeit das Flash-Applet dekompiliert werden müsste. Anwender sollten auf ihren Routern sicherheitshalber die UPnP-Funktion deaktivieren.
Weitere Details zum UPnP-Protokoll sind im Artikel "Freihandelszone" in c't 26/07, Seite 202 zu finden.
www.heise.de/newsticker/meldung/101799
Dass Universal Plug and Play (UPnP) auf Routern zu Sicherheitsproblemen führen kann, ist seit längerem bekannt: Ohne Authentifizierung kann jeder Client aus dem LAN heraus beispielsweise Port-Forwarding aktivieren und so die Firewall durchbohren. Unter Umständen kann aber auch ein Angreifer von Außen den Router umkonfigurieren, wie die Sicherheitsspezialisten Petko Petkov und Adrian Pastor auf der Seite GNUCitizen berichten. Dazu bedarf es allerdings einer Cross-Site-Scripting-Schwachstelle im Authentifizierungsdialog des Routers, was aber nach Einschätzung der beiden nicht allzu selten vorkommt. Darüber ist es dem Bericht zufolge möglich, JavaScript im Browser im Kontext des Routers auszuführen und via XMLHttRequests mit der UPnP-API respektive dem SOAP-Interface des Routers zu kommunizieren.
Mit dem JavaScript lassen sich nicht nur Ports freischalten, je nach Router-Modell ist es möglich, weitere Konfigurationen zu ändern. Üblicherweise liefert ein Router mit UPnP-Unterstützung auf Anfrage sogar eine Antwort zurück, welche Dienste sich bei ihm via UPnP steuern lassen. Schlimmstenfalls lässt sich sogar die IP-Adresse des DNS-Server (SetDNSServer) manipulieren, um so Anfragen auf einen manipulierten Nameserver umzuleiten und gefälschte Adressen zurückzuliefern. Ein Opfer könnte so auf Phishing-Seiten landen, ohne es zu merken.
Bei den betroffenen Modellen handelt es sich dem Bericht nach um die im UK verbreiteten Router Speedtouch von Thomson und den BT Home Hub. Für einen erfolgreichen Angriff muss das Opfer aber, wie immer bei Cross-Site-Scripting, irgendeinen Link auf einer Webseite eines Angreifers klicken und auf dem Gerät muss UPnP aktiviert sein. Standardmäßig ist das bei zahlreichen Routern der Fall.
Tools wie NoScript schützen üblicherweise vor Angriffen mit schädlichem JavaScript. Petkov zeigt in seinem Bericht aber, wie sich Router auch über ActionScript in Flash-Applets umkonfigurieren lassen. Damit lassen sich JavaScript-Filter einfach umgehen. ActionScript-Filter gibt es bislang nicht, da dazu in Echtzeit das Flash-Applet dekompiliert werden müsste. Anwender sollten auf ihren Routern sicherheitshalber die UPnP-Funktion deaktivieren.
Weitere Details zum UPnP-Protokoll sind im Artikel "Freihandelszone" in c't 26/07, Seite 202 zu finden.
www.heise.de/newsticker/meldung/101799