Abo
  • Services:
Anzeige
Das Misfortune Cookie betrifft viele Home-Router im Internet.
Das Misfortune Cookie betrifft viele Home-Router im Internet. (Bild: Pixabay / Hans)

Misfortune Cookie: Die offene Lücke auf Port 7547

Das Misfortune Cookie betrifft viele Home-Router im Internet.
Das Misfortune Cookie betrifft viele Home-Router im Internet. (Bild: Pixabay / Hans)

Der HTTP-Server Rompager, der in Millionen von Internet-Devices eingesetzt wird, hat eine gravierende Sicherheitslücke. Auf dem 31C3 haben Forscher der Firma Check Point Details und Hintergründe zum wenig bekannten Protokoll TR-069 vorgestellt.

Anzeige

TR-069 ist ein Protokoll, von dem die meisten Internetanwender vermutlich noch nichts gehört haben. Doch aus Scans des gesamten IPv4-Adressraums nach offenen Ports geht hervor, dass es eine enorme Verbreitung hat: Etwa 45 Millionen Geräte im Internet lauschen auf diesem Port. TR-069 ist vor allem auf Home-Routern installiert und dient zur Fernkonfiguration der Geräte, beispielsweise durch Internet-Zugangsprovider. Das Protokoll baut auf HTTP auf und wird sehr häufig durch eine Software namens Rompager bereitgestellt.

Vor knapp zwei Wochen warnten Forscher der Firma Check Point vor einer Sicherheitslücke in Millionen von Internet-Devices, die Misfortune Cookie getauft wurde. Da Check Point nur wenige Details veröffentlicht hat, waren viele Fachleute skeptisch, auch Golem.de hat nur zurückhaltend über die Lücke berichtet. Doch auf dem 31C3 haben Lior Oppenheim und Shahar Tal von Check Point weitere Details zu Misfortune Cookie bekanntgegeben. Sie ist tatsächlich so gravierend wie zuerst gemeldet.

Die Hälfte aller TR-069-Geräte nutzt Rompager 4.07

Die Check-Point-Forscher haben im November 2014 den gesamten IPv4-Adressraum nach Geräten abgesucht, die auf Port 7547 lauschen. Dabei erhielten sie Antworten von 1,18 Prozent der IP-Adressen. Bemerkenswert dabei: Über die Hälfte davon - 52 Prozent - wurden mit Rompager betrieben und davon wiederum 98 Prozent mit derselben Version 4.07. Es stellte sich also heraus, dass ein Großteil der TR-069-Geräte dieselbe Version derselben Software benutzt. Diese Software ist noch dazu uralt: Rompager 4.07 wurde 2002 veröffentlicht, und es hat seitdem zahlreiche neuere Versionen gegeben, die jedoch kaum verbreitet sind. Die Softwareversion des Routers lässt sich einfach anhand des HTTP-Headers "Server" erkennen (z. B. "Server: RomPager/4.07 UPnP/1.0").

Für diese ältere Rompager-Version war bereits eine Sicherheitslücke bekannt, die sogenannte Rom-0-Lücke (CVE-2014-4019). Doch diese ließ sich nur ausnutzen, wenn Rompager das Konfigurationsinterface des Routers bereitstellt. Bei der Rom-0-Lücke kann man auf einer bestimmten URL ohne Kenntnis der Zugangsdaten die gesamte Konfiguration des Routers inklusive Zugangsdaten auslesen. Doch nur eine geringe Zahl von Geräten stellte ihr Konfigurationsinterface über das Internet bereit, somit waren die Auswirkungen dieser Lücke begrenzt.

Die Check-Point-Forscher haben einen handelsüblichen Router der Firma TP-Link untersucht, der ebenfalls Rompager 4.07 nutzt. Für den Router stand ein Firmware-Update bereit, doch das änderte nichts an der Rompager-Version. Es befand sich somit auf einem neuen Router mit aktueller Firmware ein veralteter HTTP-Server von 2002. Insgesamt fanden sich über 200 Geräte von 50 verschiedenen Herstellern, die alle Rompager 4.07 benutzen.

Fuzzing findet Lücke im HTTP-Parser

Bei Check Point entschloss man sich nun, die Firmware zu analysieren. Diese nutzte das Betriebssystem ZynOS von der Firma Zyxel. Mit dem Tool Binwalker ließen sich die Firmware-Images entpacken. Auf dem untersuchten TP-Link-Router befanden sich Anschlüsse für eine serielle Schnittstelle, auf der man Debugging-Informationen auslesen konnte. Damit war die Analyse deutlich einfacher möglich. Mit Hilfe von einfachem Fuzzing der HTTP-Header fand Oppenheim bereits eine Möglichkeit, das Gerät über Sonderzeichen im HTTP-Usernamen zum Absturz zu bringen. Eine weitere Analyse ergab, dass sich mit dieser Lücke auch Code ausführen ließ. Das wäre schon ein großes Problem, aber die Lücke lässt sich nicht generisch ausnutzen, da das Speicherlayout auf unterschiedlichen Geräten nicht identisch ist. Oppenheimer fand noch eine weitere Lücke im Parser des HTTP-Requests, die sich jedoch nur über Port 80 ausnutzen ließ.

Die entscheidende Lücke befindet sich jedoch im Cookie-Parser des Webservers. Die Cookies von Rompager sind durchnummeriert, es ist Platz für 10 Cookies im Speicher vorgesehen. Da es sich um relativ simple MIPS-Geräte handelt, haben sie keine dynamische Speicherverwaltung. Wie Oppenheimer herausfand, werden die Cookies über eine Nummer indiziert. Und diese Nummer wird direkt als Index für den Speicherzugriff verwendet. Einen Check, ob das Cookie sich im richtigen Speicherbereich befindet, gab es nicht, ein klassischer Buffer Overflow war somit möglich. Und hier war das Speicherlayout so angeordnet, dass der Angriff unabhängig vom verwendeten Gerät funktionierte. Ein Beispiel zur Demonstration der Lücke ist folgender Cookie-Header:

Cookie: C107373883=/omg1337hax

Damit wird nur ein entsprechend harmloser String ausgegeben, dieselbe Lücke lässt sich aber auch zur Ausführung beliebigen Codes nutzen. Tal und Oppenheimer demonstrierten das während des Vortrags anhand eines vollkommen neuen TP-Link-Routers. Die Lücke ließ sich auf allen Geräten mit Rompager 4.07 ausnutzen, die von Check Point untersucht wurden. Dafür hatten die Check-Point-Forscher ein Chrome-Plugin entwickelt, mit dem sie direkt Administrationszugriff auf die betroffenen Geräte erhalten können, das jedoch nicht veröffentlicht wurde.

Was die Lücke besonders gravierend macht: In aller Regel lässt sich die Funktionalität von TR-069 nicht abschalten. Selbst wenn ein Router die Möglichkeit anbietet, TR-069 abzuschalten, lauscht Rompager weiterhin auf Port 7547 - die Lücke bleibt weiterhin offen. Einige Router-Hersteller haben inzwischen Updates bereitgestellt. Wer ein Gerät besitzt, für das kein Update bereitsteht, sollte versuchen, auf Alternativfirmware zurückzugreifen. Für viele Geräte gibt es etwa Firmware-Images der Projeket OpenWRT oder DD-WRT. Wer einen neuen Router kauft, sollte darauf achten, dass er keines der betroffenen Geräte erhält, solange kein Fix bereitsteht.

Das Problem besteht laut Check Point vor allem darin, dass die Entwicklung eines Routers so viele Beteiligte einschließt. Die hohe Verbreitung von Rompager 4.07 geht überwiegend auf ein SDK zurück, das die Software von Allegrosoft eingekauft hat. Dieses SDK wurde von sehr vielen Router-Herstellern genutzt. Anschließend haben viele Internet-Zugangsprovider noch modifizierte Router-Versionen produziert und an ihre Kunden verteilt. In dieser Kette gelangen neue Releases und Korrekturen nur sehr langsam zum Endnutzer. Daher war es möglich, dass ein Bug in einer über zehn Jahre alten Software zu einer so gravierenden Sicherheitslücke führte. Allegrosoft selbst ruft in einer Stellungnahme alle Hersteller von Geräten mit Rompager dazu auf, keine veralteten Versionen der Software zu nutzen.

Der Autor dieses Artikels hat ein simples Check-Tool entwickelt, mit dem sich Router online auf die verwendete Rompager-Version prüfen lassen. Der PHP-Quellcode wird in Kürze auf Github veröffentlicht, das Tool lässt sich dann auch lokal benutzen.


eye home zur Startseite
holminger 30. Dez 2014

Etwas, was mit OpenWRT oder DD-WRT läuft. Ich suche seit ein paar Jahren meine Router...

Nyckelpiga 30. Dez 2014

Nicht einmal bereits bekannte Lücken werden repariert? Warum müssen die ISPs gezwungen...

Avalanche 30. Dez 2014

dieser Vorfall zeigt ein weiters mal eindrucksvoll, warum für mich als Nutzer...

Schattenwerk 29. Dez 2014

Das dies "stattbekannt" sein soll bezweifel ich einmal stark. Ich kenne genug Leute, wo...



Anzeige

Stellenmarkt
  1. Schaeffler Autom. Afterm. GmbH & Co. KG, Langen
  2. SSI Schäfer IT Solutions GmbH, Giebelstadt, Dortmund, Walldorf
  3. Device Insight GmbH, München
  4. Trescal GmbH, Esslingen bei Stuttgart


Anzeige
Spiele-Angebote
  1. 19,99€ inkl. Versand
  2. 4,99€
  3. 53,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Cloud Native Con

    Kubernetes 1.6 versteckt Container-Dienste

  2. Blizzard

    Heroes of the Storm 2.0 bekommt Besuch aus Diablo

  3. APT29

    Staatshacker nutzen Tors Domain-Fronting

  4. Stellenanzeige

    Netflix führt ausgefeilten Kampf gegen illegale Kopien

  5. Xbox One

    Neue Firmware mit Beam und Erfolgsmonitoring

  6. Samsung

    Neue Gear 360 kann in 4K filmen

  7. DeX im Hands On

    Samsung bringt eigene Desktop-Umgebung für Smartphones

  8. Galaxy S8 und S8+ im Kurztest

    Samsung setzt auf langgezogenes Display und Bixby

  9. Erazer-Serie

    Medion bringt mehrere Komplett-PCs mit AMDs Ryzen heraus

  10. DJI

    Drohnen sollen ihre Position und ihre ID funken



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Technik-Kritiker: Jaron Lanier will Facebook zerschlagen
Technik-Kritiker
Jaron Lanier will Facebook zerschlagen
  1. Hasskommentare Regierung plant starke Ausweitung der Bestandsdatenauskunft
  2. Kamera Facebook macht schicke Bilder und löscht sie dann wieder
  3. Dieter Lauinger Minister fordert Gesetz gegen Hasskommentare noch vor Wahl

Mass Effect Andromeda im Test: Zwischen galaktisch gut und kosmischem Kaffeekränzchen
Mass Effect Andromeda im Test
Zwischen galaktisch gut und kosmischem Kaffeekränzchen
  1. Mass Effect Andromeda im Technik-Test Frostbite für alle Rollenspieler
  2. Mass Effect Countdown für Andromeda
  3. Mass Effect 4 Ansel und Early Access für Andromeda

D-Wave: Quantencomputer oder Computer mit Quanteneffekten?
D-Wave
Quantencomputer oder Computer mit Quanteneffekten?
  1. IBM Q Qubits as a Service
  2. Rechentechnik Ein Bauplan für einen Quantencomputer

  1. Re: Scheint so als würde denen das Geld langsam...

    Umaru | 04:17

  2. Re: Wie "sicher" wird der Fingerabdruck gespeichert?

    picaschaf | 02:20

  3. Re: Und nach 1,5 Jahren auch wieder Schrott wegen...

    picaschaf | 02:18

  4. Re: "[...] setzen allerdings durchgehend auf...

    nille02 | 01:52

  5. Re: Ein bisschen hoch der Fingerabrducksensor

    Penske1 | 01:44


  1. 18:40

  2. 18:19

  3. 18:01

  4. 17:43

  5. 17:25

  6. 17:00

  7. 17:00

  8. 17:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel