Abo
  • Services:
Anzeige
Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen
Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen (Bild: Check Point)

Misfortune Cookie: Sicherheitslücke in Routern angeblich weit verbreitet

Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen
Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen (Bild: Check Point)

Laut einer Meldung von Check Point sind viele Router von einer Sicherheitslücke betroffen, die eigentlich schon 2005 behoben wurde. Doch die Firma geizt auch auf Anfrage von Golem.de mit Details, die Darstellung liest sich eher wie eine Werbekampagne für die Personal Firewall ZoneAlarm.

Anzeige

Eine Meldung über eine angebliche Sicherheitslücke in Embedded-Routern verunsichert Anwender. Falls die Details stimmen, wäre es eine relativ gravierende Lücke, doch prüfen lässt sich das kaum. Die Meldung der israelischen Firma Check Point enthält wenig konkrete Details zu der Lücke, die den Namen Misfortune Cookie erhalten hat. Nicht gerade vertrauenerweckend wirkt dabei, dass Check Point die Lücke zum Anlass nimmt, für sein Produkt ZoneAlarm zu werben, obwohl völlig unklar ist, in welcher Weise ZoneAlarm hier schützen soll. Nutzer können nun mit einem vom Autor dieses Artikels bereitgestellten Online-Tool prüfen, ob ihr Router betroffen ist.

HTTP-Server Rompager in Routerfirmware integriert

Laut der Darstellung von Check Point handelt es sich um eine nicht näher erklärte Memory-Corruption-Lücke in der Verarbeitung von Cookies. Die Lücke befindet sich in der Software Rompager. Rompager ist ein HTTP-Server der Firma Allegrosoft, der in vielen Routern zum Einsatz kommt. Laut Check Point wurden bei einem Internetscan etwa 12 Millionen Geräte gefunden, die eine verwundbare Version von Rompager nutzen.

Offenbar wurde der entsprechende Fehler bereits 2005 von Allegrosoft gefunden und behoben. Wie uns Shahar Tal von Check Point mitteilte, hatte Allegrosoft zunächst nicht erkannt, dass es sich um eine kritische Sicherheitslücke handelt und den Fehler behoben, ohne ihn öffentlich zu machen. Obwohl das Problem bereits 2005 beseitigt worden sei, seien immer noch zahlreiche Router verwundbar. Scheinbar haben viele Routerhersteller die entsprechenden Updates von Allegrosoft nicht übernommen und weiterhin ältere Versionen des HTTP-Servers in ihre Firmware integriert. Behoben wurde die Lücke in Rompager 4.34. Insbesondere die verbreitete Version 4.07 ist laut Check Point aber noch betroffen. Die verwendete Firmwareversion kann man anhand des HTTP-Headers oder über das bereits erwähnte Online-Checktool prüfen.

Die Lücke greift das Protokoll TR-069/CWMP an. Dabei handelt es sich um einen Standard, mit dem Router über eine öffentlich zugängliche Schnittstelle Konfigurationseinstellungen erhalten können. Solche Funktionen werden klassischerweise von Internetprovidern genutzt, um Konfigurationsupdates an Kunden zu verteilen.

Unsinnige Empfehlung für ZoneAlarm

Die Kommunikation von TR-069 wird über HTTP-Anfragen abgewickelt, das führt auch dazu, dass die Lücke von außen ausgenutzt werden kann. Doch hier wird man stutzig. Denn Check Point empfiehlt in einem Blogeintrag als Abhilfe für Nutzer von betroffenen Geräten, sich die Personal Firewall ZoneAlarm zu installieren. Passend gibt es die gerade im Sonderangebot für 9,95 Dollar. Eine Empfehlung, die kaum Sinn ergibt. Denn eine Personal Firewall kann nur Angriffe auf einen Client-PC abwehren, aber nicht auf einen öffentlich im Internet zugänglichen Router. Viele IT-Sicherheitsexperten halten zudem generell Personal Firewalls für ein fragwürdiges Sicherheitskonzept.

Ungewöhnlich ist, dass mit einer Memory-Corruption-Lücke gleich Hunderte unterschiedliche Routermodelle angegriffen werden können. Denn die Ausnutzung solcher Lücken ist üblicherweise komplex und hängt von vielen Details wie der exakten Softwareversion und dem Speicherlayout auf dem betroffenen Gerät ab. Check Point hat auf Anfrage von Golem.de bestätigt, dass mit einem einzigen Exploit alle Geräte, die die Firma untersucht hatte, angreifbar waren. Ein PDF-Dokument listet über 200 Geräte auf, die vermutlich von der Lücke betroffen sind, darunter viele von D-Link, Zyxel und TP-Link.

Die Übernahme eines Routers kann ein Angreifer für unterschiedliche Zwecke nutzen. So könnte etwa der Traffic der Nutzer, die über den entsprechenden Router ins Netz gehen, manipuliert werden, beispielsweise, indem Malware in Webseiten eingefügt wird.

Oft keine Routerupdates verfügbar

Das Dilemma: Für viele der betroffenen Geräte wird es vermutlich keine Updates geben. Die Hersteller der entsprechenden Router versorgen diese in aller Regel nur für einen begrenzten Zeitraum von wenigen Jahren mit Aktualisierungen. Danach sind die Geräte aber häufig noch für viele weitere Jahre bei Kunden im Einsatz. Ein besonderes Problem sind Zwangsrouter von Internetprovidern, bei denen Kunden selbst überhaupt keine Updates einspielen können.

Wer eines der mutmaßlich betroffenen Geräte besitzt, sollte dennoch prüfen, ob ein Update für das Gerät verfügbar ist. Falls es eine Option zum Abschalten der Autokonfiguration über TR-069/CWMP gibt, ist das ebenfalls eine Möglichkeit, sich zu schützen. Wer ein älteres Gerät besitzt, für das keine Updates bereitstehen, kann teilweise auf alternative Routerfirmwares wie OpenWRT oder DD-WRT zurückgreifen.

Die Entdecker der Sicherheitslücke wollen weitere Details zu ihrer Entdeckung auf dem bevorstehenden Chaos Communication Congress (31C3) in Hamburg präsentieren. Bleibt zu hoffen, dass dort detailliertere Informationen zu der Lücke präsentiert werden.

Nachtrag vom 19. Dezember 2014, 16:22 Uhr

Wir haben einen Hinweis auf das von uns entwickelte Check-Tool eingefügt.


eye home zur Startseite
Anonymer Nutzer 27. Jan 2015

Heutzutage telefoniert doch fast jede Software nach Hause. Offiziell um zu Prüfen, ob...



Anzeige

Stellenmarkt
  1. Power Service GmbH, Köln
  2. B. Braun Melsungen AG, Melsungen, Tuttlingen
  3. Schwarz IT Infrastrucutre & operations Services GmbH & Co.KG, Neckarsulm
  4. Schwarz IT Infrastructure & Operations Services GmbH & Co. KG, Neckarsulm


Anzeige
Spiele-Angebote
  1. 69,99€ (Release 31.03.)
  2. 9,99€ (nur bis Samstag)
  3. 14,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  2. Autonomes Fahren

    Der Truck lernt beim Fahren

  3. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  4. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  5. Google-Steuer

    EU-Verbraucherausschuss lehnt Leistungsschutzrecht ab

  6. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  7. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp

  8. Urheberrecht

    Marketplace-Händler wegen Bildern von Amazon bestraft

  9. V8 Turbofan

    Neuer Javascript-Compiler für Chrome kommt im März

  10. Motion Control

    Kamerafahrten für die perfekte Illusion



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. MX Board Silent im Praxistest Der viel zu teure Feldversuch von Cherry
  3. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig

Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

  1. Klasse, wie "open" dieses Open Source doch ist.

    n0x30n | 18:02

  2. Re: 'And if the DRM "maintenance" is about...

    lear | 18:02

  3. Re: First World Problems

    ChMu | 17:57

  4. Re: Eine ganz blöde aber nicht unberechtigte Frage

    beaglow | 17:54

  5. Re: Warum nicht gleich eine richtige Mouse?

    Schnarchnase | 17:53


  1. 18:02

  2. 17:43

  3. 16:49

  4. 16:21

  5. 16:02

  6. 15:00

  7. 14:41

  8. 14:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel