Abo
  • IT-Karriere:

Misfortune Cookie: Die offene Lücke auf Port 7547

Der HTTP-Server Rompager, der in Millionen von Internet-Devices eingesetzt wird, hat eine gravierende Sicherheitslücke. Auf dem 31C3 haben Forscher der Firma Check Point Details und Hintergründe zum wenig bekannten Protokoll TR-069 vorgestellt.

Artikel veröffentlicht am , Hanno Böck
Das Misfortune Cookie betrifft viele Home-Router im Internet.
Das Misfortune Cookie betrifft viele Home-Router im Internet. (Bild: Pixabay / Hans)

TR-069 ist ein Protokoll, von dem die meisten Internetanwender vermutlich noch nichts gehört haben. Doch aus Scans des gesamten IPv4-Adressraums nach offenen Ports geht hervor, dass es eine enorme Verbreitung hat: Etwa 45 Millionen Geräte im Internet lauschen auf diesem Port. TR-069 ist vor allem auf Home-Routern installiert und dient zur Fernkonfiguration der Geräte, beispielsweise durch Internet-Zugangsprovider. Das Protokoll baut auf HTTP auf und wird sehr häufig durch eine Software namens Rompager bereitgestellt.

Stellenmarkt
  1. CodeCamp:N GmbH, Nürnberg
  2. Hays AG, Heilbronn

Vor knapp zwei Wochen warnten Forscher der Firma Check Point vor einer Sicherheitslücke in Millionen von Internet-Devices, die Misfortune Cookie getauft wurde. Da Check Point nur wenige Details veröffentlicht hat, waren viele Fachleute skeptisch, auch Golem.de hat nur zurückhaltend über die Lücke berichtet. Doch auf dem 31C3 haben Lior Oppenheim und Shahar Tal von Check Point weitere Details zu Misfortune Cookie bekanntgegeben. Sie ist tatsächlich so gravierend wie zuerst gemeldet.

Die Hälfte aller TR-069-Geräte nutzt Rompager 4.07

Die Check-Point-Forscher haben im November 2014 den gesamten IPv4-Adressraum nach Geräten abgesucht, die auf Port 7547 lauschen. Dabei erhielten sie Antworten von 1,18 Prozent der IP-Adressen. Bemerkenswert dabei: Über die Hälfte davon - 52 Prozent - wurden mit Rompager betrieben und davon wiederum 98 Prozent mit derselben Version 4.07. Es stellte sich also heraus, dass ein Großteil der TR-069-Geräte dieselbe Version derselben Software benutzt. Diese Software ist noch dazu uralt: Rompager 4.07 wurde 2002 veröffentlicht, und es hat seitdem zahlreiche neuere Versionen gegeben, die jedoch kaum verbreitet sind. Die Softwareversion des Routers lässt sich einfach anhand des HTTP-Headers "Server" erkennen (z. B. "Server: RomPager/4.07 UPnP/1.0").

Für diese ältere Rompager-Version war bereits eine Sicherheitslücke bekannt, die sogenannte Rom-0-Lücke (CVE-2014-4019). Doch diese ließ sich nur ausnutzen, wenn Rompager das Konfigurationsinterface des Routers bereitstellt. Bei der Rom-0-Lücke kann man auf einer bestimmten URL ohne Kenntnis der Zugangsdaten die gesamte Konfiguration des Routers inklusive Zugangsdaten auslesen. Doch nur eine geringe Zahl von Geräten stellte ihr Konfigurationsinterface über das Internet bereit, somit waren die Auswirkungen dieser Lücke begrenzt.

Die Check-Point-Forscher haben einen handelsüblichen Router der Firma TP-Link untersucht, der ebenfalls Rompager 4.07 nutzt. Für den Router stand ein Firmware-Update bereit, doch das änderte nichts an der Rompager-Version. Es befand sich somit auf einem neuen Router mit aktueller Firmware ein veralteter HTTP-Server von 2002. Insgesamt fanden sich über 200 Geräte von 50 verschiedenen Herstellern, die alle Rompager 4.07 benutzen.

Fuzzing findet Lücke im HTTP-Parser

Bei Check Point entschloss man sich nun, die Firmware zu analysieren. Diese nutzte das Betriebssystem ZynOS von der Firma Zyxel. Mit dem Tool Binwalker ließen sich die Firmware-Images entpacken. Auf dem untersuchten TP-Link-Router befanden sich Anschlüsse für eine serielle Schnittstelle, auf der man Debugging-Informationen auslesen konnte. Damit war die Analyse deutlich einfacher möglich. Mit Hilfe von einfachem Fuzzing der HTTP-Header fand Oppenheim bereits eine Möglichkeit, das Gerät über Sonderzeichen im HTTP-Usernamen zum Absturz zu bringen. Eine weitere Analyse ergab, dass sich mit dieser Lücke auch Code ausführen ließ. Das wäre schon ein großes Problem, aber die Lücke lässt sich nicht generisch ausnutzen, da das Speicherlayout auf unterschiedlichen Geräten nicht identisch ist. Oppenheimer fand noch eine weitere Lücke im Parser des HTTP-Requests, die sich jedoch nur über Port 80 ausnutzen ließ.

Die entscheidende Lücke befindet sich jedoch im Cookie-Parser des Webservers. Die Cookies von Rompager sind durchnummeriert, es ist Platz für 10 Cookies im Speicher vorgesehen. Da es sich um relativ simple MIPS-Geräte handelt, haben sie keine dynamische Speicherverwaltung. Wie Oppenheimer herausfand, werden die Cookies über eine Nummer indiziert. Und diese Nummer wird direkt als Index für den Speicherzugriff verwendet. Einen Check, ob das Cookie sich im richtigen Speicherbereich befindet, gab es nicht, ein klassischer Buffer Overflow war somit möglich. Und hier war das Speicherlayout so angeordnet, dass der Angriff unabhängig vom verwendeten Gerät funktionierte. Ein Beispiel zur Demonstration der Lücke ist folgender Cookie-Header:

Cookie: C107373883=/omg1337hax

Damit wird nur ein entsprechend harmloser String ausgegeben, dieselbe Lücke lässt sich aber auch zur Ausführung beliebigen Codes nutzen. Tal und Oppenheimer demonstrierten das während des Vortrags anhand eines vollkommen neuen TP-Link-Routers. Die Lücke ließ sich auf allen Geräten mit Rompager 4.07 ausnutzen, die von Check Point untersucht wurden. Dafür hatten die Check-Point-Forscher ein Chrome-Plugin entwickelt, mit dem sie direkt Administrationszugriff auf die betroffenen Geräte erhalten können, das jedoch nicht veröffentlicht wurde.

Was die Lücke besonders gravierend macht: In aller Regel lässt sich die Funktionalität von TR-069 nicht abschalten. Selbst wenn ein Router die Möglichkeit anbietet, TR-069 abzuschalten, lauscht Rompager weiterhin auf Port 7547 - die Lücke bleibt weiterhin offen. Einige Router-Hersteller haben inzwischen Updates bereitgestellt. Wer ein Gerät besitzt, für das kein Update bereitsteht, sollte versuchen, auf Alternativfirmware zurückzugreifen. Für viele Geräte gibt es etwa Firmware-Images der Projeket OpenWRT oder DD-WRT. Wer einen neuen Router kauft, sollte darauf achten, dass er keines der betroffenen Geräte erhält, solange kein Fix bereitsteht.

Das Problem besteht laut Check Point vor allem darin, dass die Entwicklung eines Routers so viele Beteiligte einschließt. Die hohe Verbreitung von Rompager 4.07 geht überwiegend auf ein SDK zurück, das die Software von Allegrosoft eingekauft hat. Dieses SDK wurde von sehr vielen Router-Herstellern genutzt. Anschließend haben viele Internet-Zugangsprovider noch modifizierte Router-Versionen produziert und an ihre Kunden verteilt. In dieser Kette gelangen neue Releases und Korrekturen nur sehr langsam zum Endnutzer. Daher war es möglich, dass ein Bug in einer über zehn Jahre alten Software zu einer so gravierenden Sicherheitslücke führte. Allegrosoft selbst ruft in einer Stellungnahme alle Hersteller von Geräten mit Rompager dazu auf, keine veralteten Versionen der Software zu nutzen.

Der Autor dieses Artikels hat ein simples Check-Tool entwickelt, mit dem sich Router online auf die verwendete Rompager-Version prüfen lassen. Der PHP-Quellcode wird in Kürze auf Github veröffentlicht, das Tool lässt sich dann auch lokal benutzen.



Anzeige
Top-Angebote
  1. 39€ + Versand (Bestpreis!)
  2. (aktuell u. a. Intel Core i5-9600K boxed für 229€ + Versand statt 247,90€ + Versand im...
  3. (u. a. 4K-Filme im Steelbook und Amiibo-Figuren)
  4. ab 99,00€

holminger 30. Dez 2014

Etwas, was mit OpenWRT oder DD-WRT läuft. Ich suche seit ein paar Jahren meine Router...

Nyckelpiga 30. Dez 2014

Nicht einmal bereits bekannte Lücken werden repariert? Warum müssen die ISPs gezwungen...

Avalanche 30. Dez 2014

dieser Vorfall zeigt ein weiters mal eindrucksvoll, warum für mich als Nutzer...

Schattenwerk 29. Dez 2014

Das dies "stattbekannt" sein soll bezweifel ich einmal stark. Ich kenne genug Leute, wo...


Folgen Sie uns
       


Huawei P30 Pro - Test

5fach-Teleobjektiv und lichtstarker Sensor - das Huawei P30 Pro hat im Moment die beste Smartphone-Kamera.

Huawei P30 Pro - Test Video aufrufen
Bug Bounty Hunter: Mit Hacker 101-Tutorials zum Millionär
Bug Bounty Hunter
Mit "Hacker 101"-Tutorials zum Millionär

Santiago Lopez hat sich als Junge selbst das Hacken beigebracht und spürt Sicherheitslücken in der Software von Unternehmen auf. Gerade hat er damit seine erste Million verdient. Im Interview mit Golem.de erzählt er von seinem Alltag.
Ein Interview von Maja Hoock

  1. White Hat Hacking In unter zwei Stunden in Universitätsnetzwerke gelangen

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

LTE-V2X vs. WLAN 802.11p: Wer hat Recht im Streit ums Auto-WLAN?
LTE-V2X vs. WLAN 802.11p
Wer hat Recht im Streit ums Auto-WLAN?

Trotz langjähriger Verhandlungen haben die EU-Mitgliedstaaten die Pläne für ein vernetztes Fahren auf EU-Ebene vorläufig gestoppt. Golem.de hat nachgefragt, ob LTE-V2X bei direkter Kommunikation wirklich besser und billiger als WLAN sei.
Eine Analyse von Friedhelm Greis

  1. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  2. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

    •  /