libupnp Schwere UPnP-Lücke in Hunderten von Routermodellen

Das US-Cert warnt vor einer Lücke in den UPnP-Funktionen, welche vermutlich nahezu alle privat genutzten Router betrifft. Zwar gibt es eine einfache Abhilfe, aber das Stopfen der Lücke dürfte einige Zeit in Anspruch nehmen.

Anzeige

In einem aktuellen Security-Advisory warnt das US-Cert vor einer Lücke in den Funktionen für Universal Plug and Play (UPnP), die die Mehrzahl der Router und andere Geräte für Heimnetzwerke betrifft. Der Fehler steckt in zahlreichen Versionen der ursprünglich von Intel seit dem Jahr 2001 entwickelten Bibliothek "libupnp", die auch für andere Prozessorarchitekturen und Betriebssysteme, darunter Windows, Linux und Mac OS, verwendet wurde.

Nahezu alle Geräte und Programme, die UPnP beherrschen, dürften darauf basieren. Heute sind Folgeversionen von libupnp als "Portable SDK" für die Funktionen bekannt. Laut der Warnung sind alle Versionen von libupnp vor der Nummer 1.6.17 von der Lücke betroffen.

Router reagieren auf UPnP-Anfragen aus dem Internet

Bei drei Funktionen von UPnP, die durch die Bibliothek gesteuert werden, kann es zu einem Pufferüberlauf kommen, über den ein Angreifer Code in das betroffene Gerät einschleusen kann. Dabei ist es auch möglich, über das Internet Zugriff auf ein privates Netzwerk zu erlangen, wie das Cert ausdrücklich feststellt. Die betroffenen Geräte reagieren nämlich auch auf UPnP-Anfragen über das WAN-Interface - also beispielsweise einen DSL-Anschluss - und können so durch Ausnutzen der Lücke kompromittiert werden.

Gerade bei Routern ist der Fehler also kritisch, er dürfte aber auch in vielen anderen Geräten stecken, die UPnP beherrschen. Dazu zählen beispielsweise NAS-Laufwerke, vernetzte Unterhaltungselektronik wie Smart-TVs, Blu-ray-Player und Spielekonsolen sowie Streaming-Clients und Netzwerkkameras. Von diesen Geräten geht aber weniger Gefahr aus, weil ein Angreifer sich innerhalb des privaten Netzes befinden muss.

Lösung: UPnP nur im Router abschalten

Die Abhilfe ist aber ganz einfach und wird vom Cert auch so empfohlen: UPnP muss im Router abgeschaltet werden. Die Funktionen für Universal Plug and Play lassen sich dann auch innerhalb des Netzes von anderen weiterhin nutzen, nur kann der Router nicht mehr von anderen Geräten per UPnP konfiguriert werden. Das ist aber für viele andere beliebte Funktionen in einem Heimnetz wie Streaming von Medien per DLNA oder Airplay oder die Dateifreigabe gar nicht nötig. Vorsichtige Anwender schalten von jeher UPnP im Router ab.

Eine Liste der betroffenen Geräte gibt es noch nicht, das Cert hat aber bereits seit Dezember 2012 über 200 Firmen kontaktiert. Immerhin gaben einige Unternehmen zu, von der Lücke betroffen zu sein. Dazu zählen unter anderem Huawei, NEC, Sony, Belkin, Cisco, Linksys, D-Link und Siemens. Angesichts des Alters der Lücke dürften Hunderte Routermodelle, die in den vergangenen Jahren verkauft wurden, von dem Problem betroffen sein. Abhilfe ist nur durch neue Firmwareversionen möglich, die aber erst erstellt, getestet und verteilt werden müssen.

Entdeckt hat den Fehler das Sicherheitsunternehmen Rapid7, das die Lücke dem Cert mitgeteilt hat. In einem umfangreichen Whitepaper (PDF) beschreibt Rapid7 die Lücke detailliert auch mit Codebeispielen.

Nachtrag vom 30. Januar 2013, 12:10 Uhr

Die Speedport-Router der Telekom sowie Geräte von AVM sollen von der Lücke nicht betroffen sein, wie die Unternehmen Golem.de sagten. Die Hintergründe finden sich in einer aktuellen Meldung.


FrankTzFL1977 31. Jan 2013

Wer lesen kann ist klar im vorteil ;-) nee mal ernst. :-) Ich habe geschrieben "einige...

theanswerto1984... 31. Jan 2013

tr69 ist dafür zuständig, und ja, das wird von den providern auch gemacht(allerdings...

Bouncy 30. Jan 2013

Ich hätte nichts dagegen bei Mega zu arbeiten, im Gegensatz zu dir kennen sich die Leute...

holminger 30. Jan 2013

Portforwardings bringen immer ein gewisses Risiko mit sich und deshalb sollte der User...

fratze123 30. Jan 2013

Bei Filesharing auf Geräten mit dynamischer IP ist es schon praktisch, wenn sich diese...

Kommentieren




Anzeige

  1. Business Intelligence / Data Warehouse Engineer (m/w)
    Loyalty Partner GmbH, München
  2. Senior Consultant Reporting (m/w)
    b.telligent, München und Zürich
  3. IT-Spezialist (m/w) für Anwendungsentwicklung
    Versicherungskammer Bayern, München
  4. Netzwerk Administrator (m/w)
    Loyalty Partner Solutions GmbH, keine Angabe

 

Detailsuche


Folgen Sie uns
       


Anzeige
DSL 3

  1. Test Wyse Cloud Connect

    Dells mobiles Büro

  2. Globalfoundries-Kooperation mit Samsung

    AMDs Konsolengeschäft kompensiert schwache CPU-Sparte

  3. Verband

    "Uber-Verbot ruiniert Ruf der Startup-Stadt Berlin"

  4. Kabel Deutschland

    2.000 Haushalte zwei Tage von Kabelschaden betroffen

  5. Cridex-Trojaner

    Hamburger Senat bestätigt großen Schaden durch Malware

  6. Ubuntu 14.04 LTS im Test

    Canonical in der Konvergenz-Falle

  7. Überwachung

    Snowden befragt Putin in Fernsehinterview

  8. Bleichenbacher-Angriff

    TLS-Probleme in Java

  9. Cyanogenmod-Smartphone

    Oneplus One kann nur auf Einladung bestellt werden

  10. Heartbleed-Bug

    Strato und BSI warnen Nutzer



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Test Fifa Fußball-WM Brasilien 2014: Unkomplizierter Kick ins WM-Finale
Test Fifa Fußball-WM Brasilien 2014
Unkomplizierter Kick ins WM-Finale

Am 8. Juni 2014 bezieht die deutsche Nationalmannschaft ihr Trainingslager "Campo Bahia" in Brasilien, um einen Anlauf auf den Gewinn des WM-Pokals zu nehmen. Wer sichergehen will, dass es diesmal mit dem Titel klappt, kann zu Fifa Fußball-WM Brasilien 2014 greifen.

  1. Fifa WM 2014 Brasilien angespielt Mit Schweini & Co. nach Südamerika
  2. EA Sports Fifa kickt in Brasilien 2014

OpenSSL: Wichtige Fragen und Antworten zu Heartbleed
OpenSSL
Wichtige Fragen und Antworten zu Heartbleed

Der Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Wir haben die wichtigsten Infos zusammengefasst.

  1. OpenSSL OpenBSD mistet Code aus
  2. OpenSSL-Lücke Programmierer bezeichnet Heartbleed als Versehen
  3. OpenSSL-Bug Spuren von Heartbleed schon im November 2013

A Maze 2014: Tanzen mit der Perfect Woman
A Maze 2014
Tanzen mit der Perfect Woman

Viele Spiele auf dem Indiegames-Festival A Maze 2014 wirkten auf den ersten Blick abwegig. Doch die kuriosen Konzepte ergeben Sinn. Denn hinter Storydruckern, Schlafsäcken und virtuellen Fingerfallen versteckten sich erstaunlich plausible Spielideen.

  1. Festival A Maze Ist das noch Indie?
  2. Test Cut The Rope 2 für Android Grün, knuddlig und hungrig nach Geld
  3. Indie-Game NaissanceE Wenn der Ton das Spiel macht

    •  / 
    Zum Artikel