Anzeige
Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen
Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen (Bild: Check Point)

Misfortune Cookie: Sicherheitslücke in Routern angeblich weit verbreitet

Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen
Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen (Bild: Check Point)

Laut einer Meldung von Check Point sind viele Router von einer Sicherheitslücke betroffen, die eigentlich schon 2005 behoben wurde. Doch die Firma geizt auch auf Anfrage von Golem.de mit Details, die Darstellung liest sich eher wie eine Werbekampagne für die Personal Firewall ZoneAlarm.

Anzeige

Eine Meldung über eine angebliche Sicherheitslücke in Embedded-Routern verunsichert Anwender. Falls die Details stimmen, wäre es eine relativ gravierende Lücke, doch prüfen lässt sich das kaum. Die Meldung der israelischen Firma Check Point enthält wenig konkrete Details zu der Lücke, die den Namen Misfortune Cookie erhalten hat. Nicht gerade vertrauenerweckend wirkt dabei, dass Check Point die Lücke zum Anlass nimmt, für sein Produkt ZoneAlarm zu werben, obwohl völlig unklar ist, in welcher Weise ZoneAlarm hier schützen soll. Nutzer können nun mit einem vom Autor dieses Artikels bereitgestellten Online-Tool prüfen, ob ihr Router betroffen ist.

HTTP-Server Rompager in Routerfirmware integriert

Laut der Darstellung von Check Point handelt es sich um eine nicht näher erklärte Memory-Corruption-Lücke in der Verarbeitung von Cookies. Die Lücke befindet sich in der Software Rompager. Rompager ist ein HTTP-Server der Firma Allegrosoft, der in vielen Routern zum Einsatz kommt. Laut Check Point wurden bei einem Internetscan etwa 12 Millionen Geräte gefunden, die eine verwundbare Version von Rompager nutzen.

Offenbar wurde der entsprechende Fehler bereits 2005 von Allegrosoft gefunden und behoben. Wie uns Shahar Tal von Check Point mitteilte, hatte Allegrosoft zunächst nicht erkannt, dass es sich um eine kritische Sicherheitslücke handelt und den Fehler behoben, ohne ihn öffentlich zu machen. Obwohl das Problem bereits 2005 beseitigt worden sei, seien immer noch zahlreiche Router verwundbar. Scheinbar haben viele Routerhersteller die entsprechenden Updates von Allegrosoft nicht übernommen und weiterhin ältere Versionen des HTTP-Servers in ihre Firmware integriert. Behoben wurde die Lücke in Rompager 4.34. Insbesondere die verbreitete Version 4.07 ist laut Check Point aber noch betroffen. Die verwendete Firmwareversion kann man anhand des HTTP-Headers oder über das bereits erwähnte Online-Checktool prüfen.

Die Lücke greift das Protokoll TR-069/CWMP an. Dabei handelt es sich um einen Standard, mit dem Router über eine öffentlich zugängliche Schnittstelle Konfigurationseinstellungen erhalten können. Solche Funktionen werden klassischerweise von Internetprovidern genutzt, um Konfigurationsupdates an Kunden zu verteilen.

Unsinnige Empfehlung für ZoneAlarm

Die Kommunikation von TR-069 wird über HTTP-Anfragen abgewickelt, das führt auch dazu, dass die Lücke von außen ausgenutzt werden kann. Doch hier wird man stutzig. Denn Check Point empfiehlt in einem Blogeintrag als Abhilfe für Nutzer von betroffenen Geräten, sich die Personal Firewall ZoneAlarm zu installieren. Passend gibt es die gerade im Sonderangebot für 9,95 Dollar. Eine Empfehlung, die kaum Sinn ergibt. Denn eine Personal Firewall kann nur Angriffe auf einen Client-PC abwehren, aber nicht auf einen öffentlich im Internet zugänglichen Router. Viele IT-Sicherheitsexperten halten zudem generell Personal Firewalls für ein fragwürdiges Sicherheitskonzept.

Ungewöhnlich ist, dass mit einer Memory-Corruption-Lücke gleich Hunderte unterschiedliche Routermodelle angegriffen werden können. Denn die Ausnutzung solcher Lücken ist üblicherweise komplex und hängt von vielen Details wie der exakten Softwareversion und dem Speicherlayout auf dem betroffenen Gerät ab. Check Point hat auf Anfrage von Golem.de bestätigt, dass mit einem einzigen Exploit alle Geräte, die die Firma untersucht hatte, angreifbar waren. Ein PDF-Dokument listet über 200 Geräte auf, die vermutlich von der Lücke betroffen sind, darunter viele von D-Link, Zyxel und TP-Link.

Die Übernahme eines Routers kann ein Angreifer für unterschiedliche Zwecke nutzen. So könnte etwa der Traffic der Nutzer, die über den entsprechenden Router ins Netz gehen, manipuliert werden, beispielsweise, indem Malware in Webseiten eingefügt wird.

Oft keine Routerupdates verfügbar

Das Dilemma: Für viele der betroffenen Geräte wird es vermutlich keine Updates geben. Die Hersteller der entsprechenden Router versorgen diese in aller Regel nur für einen begrenzten Zeitraum von wenigen Jahren mit Aktualisierungen. Danach sind die Geräte aber häufig noch für viele weitere Jahre bei Kunden im Einsatz. Ein besonderes Problem sind Zwangsrouter von Internetprovidern, bei denen Kunden selbst überhaupt keine Updates einspielen können.

Wer eines der mutmaßlich betroffenen Geräte besitzt, sollte dennoch prüfen, ob ein Update für das Gerät verfügbar ist. Falls es eine Option zum Abschalten der Autokonfiguration über TR-069/CWMP gibt, ist das ebenfalls eine Möglichkeit, sich zu schützen. Wer ein älteres Gerät besitzt, für das keine Updates bereitstehen, kann teilweise auf alternative Routerfirmwares wie OpenWRT oder DD-WRT zurückgreifen.

Die Entdecker der Sicherheitslücke wollen weitere Details zu ihrer Entdeckung auf dem bevorstehenden Chaos Communication Congress (31C3) in Hamburg präsentieren. Bleibt zu hoffen, dass dort detailliertere Informationen zu der Lücke präsentiert werden.

Nachtrag vom 19. Dezember 2014, 16:22 Uhr

Wir haben einen Hinweis auf das von uns entwickelte Check-Tool eingefügt.


eye home zur Startseite
Anonymer Nutzer 27. Jan 2015

Heutzutage telefoniert doch fast jede Software nach Hause. Offiziell um zu Prüfen, ob...

Kommentieren



Anzeige

  1. Senior Information Security Analyst (m/w)
    GENTHERM GmbH, Odelzhausen
  2. Information Security Specialist (m/w)
    DAW SE, Ober-Ramstadt bei Darmstadt
  3. Java EE-Entwickler (m/w)
    Topcart GmbH, Wiesbaden
  4. Gruppenleiter (m/w) Qualitätssicherung
    Ferber-Software GmbH, Lippstadt

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Patentverletzungen

    Qualcomm verklagt Meizu

  2. Deep Learning

    Algorithmus sagt menschliche Verhaltensweisen voraus

  3. Bungie

    Destiny-Karriere auf PS3 und Xbox 360 endet im August 2016

  4. Vive-Headset

    HTC muss sich auf Virtual Reality verlassen

  5. Mobilfunk

    Datenvolumen steigt während EM-Spiel um 25 Prozent

  6. Software Guard Extentions

    Linux-Code kann auf Intel-CPUs besser geschützt werden

  7. Darknet-Handel

    Nutzerdaten von Telekom-Kunden werden verkauft

  8. HTML5 Video

    Chrome-Bug hebelt Web-DRM aus

  9. Langer Marsch

    Chinas neue Raumfahrt

  10. Sicherheitslücke

    Lenovo warnt schon wieder vor vorinstallierter Software



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Moto GP 2016 im Test Motorradrennen mit Valentino Rossi
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

Wireless-HDMI im Test: Achtung Signalstörung!
Wireless-HDMI im Test
Achtung Signalstörung!
  1. Die Woche im Video E3, Oneplus Three und Apple ohne X

  1. Re: Suche nach "schändlichen Aktivitäten"

    Mingfu | 16:46

  2. Re: Guckt der auch Pornos?

    TC | 16:45

  3. Re: Hmmm... muss ich auch mal probieren

    Bankai | 16:45

  4. Es fehlt an Inhalten

    Cerdo | 16:45

  5. Re: Warum ein weißes Mainboard?

    TC | 16:43


  1. 16:40

  2. 16:18

  3. 16:00

  4. 15:47

  5. 15:41

  6. 15:14

  7. 14:47

  8. 14:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel