Abo
  • Services:
Anzeige
Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen
Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen (Bild: Check Point)

Misfortune Cookie: Sicherheitslücke in Routern angeblich weit verbreitet

Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen
Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen (Bild: Check Point)

Laut einer Meldung von Check Point sind viele Router von einer Sicherheitslücke betroffen, die eigentlich schon 2005 behoben wurde. Doch die Firma geizt auch auf Anfrage von Golem.de mit Details, die Darstellung liest sich eher wie eine Werbekampagne für die Personal Firewall ZoneAlarm.

Anzeige

Eine Meldung über eine angebliche Sicherheitslücke in Embedded-Routern verunsichert Anwender. Falls die Details stimmen, wäre es eine relativ gravierende Lücke, doch prüfen lässt sich das kaum. Die Meldung der israelischen Firma Check Point enthält wenig konkrete Details zu der Lücke, die den Namen Misfortune Cookie erhalten hat. Nicht gerade vertrauenerweckend wirkt dabei, dass Check Point die Lücke zum Anlass nimmt, für sein Produkt ZoneAlarm zu werben, obwohl völlig unklar ist, in welcher Weise ZoneAlarm hier schützen soll. Nutzer können nun mit einem vom Autor dieses Artikels bereitgestellten Online-Tool prüfen, ob ihr Router betroffen ist.

HTTP-Server Rompager in Routerfirmware integriert

Laut der Darstellung von Check Point handelt es sich um eine nicht näher erklärte Memory-Corruption-Lücke in der Verarbeitung von Cookies. Die Lücke befindet sich in der Software Rompager. Rompager ist ein HTTP-Server der Firma Allegrosoft, der in vielen Routern zum Einsatz kommt. Laut Check Point wurden bei einem Internetscan etwa 12 Millionen Geräte gefunden, die eine verwundbare Version von Rompager nutzen.

Offenbar wurde der entsprechende Fehler bereits 2005 von Allegrosoft gefunden und behoben. Wie uns Shahar Tal von Check Point mitteilte, hatte Allegrosoft zunächst nicht erkannt, dass es sich um eine kritische Sicherheitslücke handelt und den Fehler behoben, ohne ihn öffentlich zu machen. Obwohl das Problem bereits 2005 beseitigt worden sei, seien immer noch zahlreiche Router verwundbar. Scheinbar haben viele Routerhersteller die entsprechenden Updates von Allegrosoft nicht übernommen und weiterhin ältere Versionen des HTTP-Servers in ihre Firmware integriert. Behoben wurde die Lücke in Rompager 4.34. Insbesondere die verbreitete Version 4.07 ist laut Check Point aber noch betroffen. Die verwendete Firmwareversion kann man anhand des HTTP-Headers oder über das bereits erwähnte Online-Checktool prüfen.

Die Lücke greift das Protokoll TR-069/CWMP an. Dabei handelt es sich um einen Standard, mit dem Router über eine öffentlich zugängliche Schnittstelle Konfigurationseinstellungen erhalten können. Solche Funktionen werden klassischerweise von Internetprovidern genutzt, um Konfigurationsupdates an Kunden zu verteilen.

Unsinnige Empfehlung für ZoneAlarm

Die Kommunikation von TR-069 wird über HTTP-Anfragen abgewickelt, das führt auch dazu, dass die Lücke von außen ausgenutzt werden kann. Doch hier wird man stutzig. Denn Check Point empfiehlt in einem Blogeintrag als Abhilfe für Nutzer von betroffenen Geräten, sich die Personal Firewall ZoneAlarm zu installieren. Passend gibt es die gerade im Sonderangebot für 9,95 Dollar. Eine Empfehlung, die kaum Sinn ergibt. Denn eine Personal Firewall kann nur Angriffe auf einen Client-PC abwehren, aber nicht auf einen öffentlich im Internet zugänglichen Router. Viele IT-Sicherheitsexperten halten zudem generell Personal Firewalls für ein fragwürdiges Sicherheitskonzept.

Ungewöhnlich ist, dass mit einer Memory-Corruption-Lücke gleich Hunderte unterschiedliche Routermodelle angegriffen werden können. Denn die Ausnutzung solcher Lücken ist üblicherweise komplex und hängt von vielen Details wie der exakten Softwareversion und dem Speicherlayout auf dem betroffenen Gerät ab. Check Point hat auf Anfrage von Golem.de bestätigt, dass mit einem einzigen Exploit alle Geräte, die die Firma untersucht hatte, angreifbar waren. Ein PDF-Dokument listet über 200 Geräte auf, die vermutlich von der Lücke betroffen sind, darunter viele von D-Link, Zyxel und TP-Link.

Die Übernahme eines Routers kann ein Angreifer für unterschiedliche Zwecke nutzen. So könnte etwa der Traffic der Nutzer, die über den entsprechenden Router ins Netz gehen, manipuliert werden, beispielsweise, indem Malware in Webseiten eingefügt wird.

Oft keine Routerupdates verfügbar

Das Dilemma: Für viele der betroffenen Geräte wird es vermutlich keine Updates geben. Die Hersteller der entsprechenden Router versorgen diese in aller Regel nur für einen begrenzten Zeitraum von wenigen Jahren mit Aktualisierungen. Danach sind die Geräte aber häufig noch für viele weitere Jahre bei Kunden im Einsatz. Ein besonderes Problem sind Zwangsrouter von Internetprovidern, bei denen Kunden selbst überhaupt keine Updates einspielen können.

Wer eines der mutmaßlich betroffenen Geräte besitzt, sollte dennoch prüfen, ob ein Update für das Gerät verfügbar ist. Falls es eine Option zum Abschalten der Autokonfiguration über TR-069/CWMP gibt, ist das ebenfalls eine Möglichkeit, sich zu schützen. Wer ein älteres Gerät besitzt, für das keine Updates bereitstehen, kann teilweise auf alternative Routerfirmwares wie OpenWRT oder DD-WRT zurückgreifen.

Die Entdecker der Sicherheitslücke wollen weitere Details zu ihrer Entdeckung auf dem bevorstehenden Chaos Communication Congress (31C3) in Hamburg präsentieren. Bleibt zu hoffen, dass dort detailliertere Informationen zu der Lücke präsentiert werden.

Nachtrag vom 19. Dezember 2014, 16:22 Uhr

Wir haben einen Hinweis auf das von uns entwickelte Check-Tool eingefügt.


eye home zur Startseite
Anonymer Nutzer 27. Jan 2015

Heutzutage telefoniert doch fast jede Software nach Hause. Offiziell um zu Prüfen, ob...



Anzeige

Stellenmarkt
  1. Institut für Qualität und Wirtschaftlichkeit im Gesundheitswesen (IQWIG), Köln
  2. BWI GmbH, deutschlandweit
  3. Güntner Group Europe GmbH, Fürstenfeldbruck Raum München
  4. BWI GmbH, Kiel


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 17,49€)
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Automatisierung

    Hillary Clinton warnt vor den Folgen künstlicher Intelligenz

  2. Gutachten

    Quote für E-Autos und Stop der Diesel-Subventionen gefordert

  3. München

    Tschüss Limux, hallo Chaos!

  4. Verbraucherzentrale

    Regulierungsfreiheit für Glasfaser bringt Preissteigerung

  5. WW2

    Kostenpflichtige Profispieler für Call of Duty verfügbar

  6. Firefox Nightly Build 58

    Firefox warnt künftig vor Webseiten mit Datenlecks

  7. Limux-Ende

    München beschließt 90 Millionen für IT-Umbau

  8. Chiphersteller

    Broadcom erhöht Druck bei feindlicher Übernahme von Qualcomm

  9. Open Access

    Konkurrenten wollen FTTH-Ausbau mit der Telekom

  10. Waipu TV

    Produkte aus Werbeblock direkt bei Amazon bestellen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Erneuerbare Energien: Siemens leitet die neue Steinzeit ein
Erneuerbare Energien
Siemens leitet die neue Steinzeit ein
  1. Siemens und Schunk Akkufahrzeuge werden mit 600 bis 1.000 Kilowatt aufgeladen
  2. Parkplatz-Erkennung Bosch und Siemens scheitern mit Pilotprojekten

Orbital Sciences: Vom Aufstieg und Niedergang eines Raketenbauers
Orbital Sciences
Vom Aufstieg und Niedergang eines Raketenbauers
  1. DFKI Forscher proben robotische Planetenerkundung auf der Erde
  2. Arkyd-6 Planetary Resources startet bald ein neues Weltraumteleskop
  3. Nasa und Roskosmos Gemeinsam stolpern sie zum Mond

Indiegames-Rundschau: Von Weltraumpiraten und dem Wunderdoktor
Indiegames-Rundschau
Von Weltraumpiraten und dem Wunderdoktor
  1. Verlag IGN übernimmt Indiegames-Anbieter Humble Bundle
  2. Indiegames-Rundschau Fantastische Fantasy und das Echo der Doppelgänger
  3. Indiegames-Rundschau Cyberpunk, Knetmännchen und Kampfsportkünstler

  1. Und das bringt was?

    Cordesh | 08:50

  2. Re: Staatsgelder verpulfert

    Niaxa | 08:49

  3. Re: Sie hat völlig recht!

    oelofant | 08:48

  4. Na dann ist die Antwort darauf doch vermutlich...

    hansenhawk | 08:46

  5. Re: Wieviel haette man gespart

    chewbacca0815 | 08:45


  1. 07:37

  2. 07:13

  3. 07:00

  4. 18:40

  5. 17:44

  6. 17:23

  7. 17:05

  8. 17:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel