UPnP-Router mit manipulierten Flash-Webseiten angreifbar
Universal Plug and Play (UPnP)(öffnet im neuen Fenster) wurde entwickelt, um dem Nutzer eines Netzwerks das Leben leichter zu machen. Statt sich mit Ports, IP-Adressen oder Ähnlichem in der Router-Software zu beschäftigen, nimmt UPnP dem Nutzer diese Arbeit ohne Benutzereingriff ab. Da UPnP jedoch keine Benutzerauthentifizierung ermöglicht, kann jede beliebige Anwendung Konfigurationen vornehmen. Diese Funktion nutzt ein Proof of Concept von gnucitizen.org aus, der im Artikel Hacking the Interwebs(öffnet im neuen Fenster) näher beschrieben wurde.
Mit dem Angriff soll es möglich sein, Ports von entsprechenden Rechnern nach außen zu öffnen und den DNS-Server zu manipulieren. Voraussetzung für den Angriff ist in diesem Szenario ein Browser mit installiertem Flash sowie ein UPnP-fähiger Router.
Der Angriff weist einige Besonderheiten auf: Um ein Opfer zu Portforwarding zu bewegen, wird keine Lücke in Flash oder UPnP ausgenutzt, vielmehr nutzt der Angriff vorhandene oder schlicht fehlende Funktionen, in etwa vergleichbar mit einer installierten Anwendung. UPnP bietet keinen Authentifizierungsmechanismus. So kann jede Anwendung - offenbar auch eine Flash-Anwendung - einen UPnP-Router nach eigenen Wünschen konfigurieren.
Die zweite Besonderheit stellt in dem Szenario die Plattformunabhängigkeit dar, die mit Hilfe von Adobes Flash realisiert wird. Der Angreifer muss sich zumindest in der Theorie nicht um plattformabhängigen Code scheren, das gilt nur für einige begleitende Angriffe, die etwa auf Schwächen des Betriebssystems abzielen. Der vorgestellte Proof of Concept scheitert derzeit jedoch unter Firefox, Opera und Safari mit Shockwave Flash 9.0 r115. Der Grund soll ein Fehler in der Version r115 von Adobes Flash sein.
Unangenehm dürfte der Angriff etwa sein, wenn allgemeine Schwächen eines Betriebssystems parallel mit ausgenutzt werden. So sollte Windows XP in seinem Ur-Zustand oder mit Service Pack 1 ohne Router auf keinen Fall dem Internet ausgesetzt werden. Würmer wie Blaster/Lovsan kommen etwa in Verbindung mit einem UPnP-Flash-Banner so auch mit einem NAT-Router an den Rechner. In dem Falle sorgt ein NAT-Router nicht für zusätzliche Sicherheit, sondern stellt den Rechner dahinter auf dieselbe Stufe wie ein Rechner, der den Internetzugang direkt nutzt.
Andere Angriffsmöglichkeiten wie die Manipulation des DNS-Server-Eintrages sollen laut GNU Citizen mit einigen Routern ebenfalls möglich sein: Das beinhaltet das Umleiten des nächsten Besuchs der Webseite der Hausbank auf eine Phishing-Seite. Auch die Umleitung von einer harmlosen Anwendung, die sich der Nutzer herunterladen möchte, auf eine Schadsoftware wäre denkbar.
Laut den Autoren des Artikels ist der einzige Weg, sich vor derartigen Angriffen zu schützen, das Abschalten von UPnP im heimischen Router und die Rückkehr zur aufwendigeren Konfiguration per Hand, die jedoch nicht jeder Benutzer beherrscht. Nicht bei allen Routern, die UPnP beherrschen, ist UPnP standardmäßig aktiviert, manche Modelle kommen aber im Auslieferungszustand mit aktiviertem UPnP daher. Das Abschalten von Flash im Browser wird vermutlich nicht helfen, da der Angriff prinzipiell auch über andere Webtechnologien möglich sein soll. In Kombination mit anderen Schwachstellen, wie etwa in der Routersoftware, dem Browser oder dem Betriebssystem, bietet UPnP durchaus Potenzial.
Auf das weniger verbreitete NAT-Port-Mapping-Protocol(öffnet im neuen Fenster) , das ähnlich wie UPnP funktioniert, geht der Artikel nicht ein. Auch hier können Anwendungen dem Router Anweisungen geben, um bestimmte Ports freizugeben. Ob sich Angriffe wie Änderungen des DNS-Servers auch hier durchführen lassen, bleibt bei NAT-PMP vorerst ungeklärt.
Weitere Fragen zu Angriffsmöglichkeiten beantwortet die Flash-UPnP-Attack-FAQ(öffnet im neuen Fenster) , die regelmäßig aktualisiert werden soll.