Abo
  • IT-Karriere:

Misfortune Cookie: Sicherheitslücke in Routern angeblich weit verbreitet

Laut einer Meldung von Check Point sind viele Router von einer Sicherheitslücke betroffen, die eigentlich schon 2005 behoben wurde. Doch die Firma geizt auch auf Anfrage von Golem.de mit Details, die Darstellung liest sich eher wie eine Werbekampagne für die Personal Firewall ZoneAlarm.

Artikel veröffentlicht am , Hanno Böck
Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen
Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen (Bild: Check Point)

Eine Meldung über eine angebliche Sicherheitslücke in Embedded-Routern verunsichert Anwender. Falls die Details stimmen, wäre es eine relativ gravierende Lücke, doch prüfen lässt sich das kaum. Die Meldung der israelischen Firma Check Point enthält wenig konkrete Details zu der Lücke, die den Namen Misfortune Cookie erhalten hat. Nicht gerade vertrauenerweckend wirkt dabei, dass Check Point die Lücke zum Anlass nimmt, für sein Produkt ZoneAlarm zu werben, obwohl völlig unklar ist, in welcher Weise ZoneAlarm hier schützen soll. Nutzer können nun mit einem vom Autor dieses Artikels bereitgestellten Online-Tool prüfen, ob ihr Router betroffen ist.

HTTP-Server Rompager in Routerfirmware integriert

Stellenmarkt
  1. Modis GmbH, Berlin
  2. enercity AG, Hannover

Laut der Darstellung von Check Point handelt es sich um eine nicht näher erklärte Memory-Corruption-Lücke in der Verarbeitung von Cookies. Die Lücke befindet sich in der Software Rompager. Rompager ist ein HTTP-Server der Firma Allegrosoft, der in vielen Routern zum Einsatz kommt. Laut Check Point wurden bei einem Internetscan etwa 12 Millionen Geräte gefunden, die eine verwundbare Version von Rompager nutzen.

Offenbar wurde der entsprechende Fehler bereits 2005 von Allegrosoft gefunden und behoben. Wie uns Shahar Tal von Check Point mitteilte, hatte Allegrosoft zunächst nicht erkannt, dass es sich um eine kritische Sicherheitslücke handelt und den Fehler behoben, ohne ihn öffentlich zu machen. Obwohl das Problem bereits 2005 beseitigt worden sei, seien immer noch zahlreiche Router verwundbar. Scheinbar haben viele Routerhersteller die entsprechenden Updates von Allegrosoft nicht übernommen und weiterhin ältere Versionen des HTTP-Servers in ihre Firmware integriert. Behoben wurde die Lücke in Rompager 4.34. Insbesondere die verbreitete Version 4.07 ist laut Check Point aber noch betroffen. Die verwendete Firmwareversion kann man anhand des HTTP-Headers oder über das bereits erwähnte Online-Checktool prüfen.

Die Lücke greift das Protokoll TR-069/CWMP an. Dabei handelt es sich um einen Standard, mit dem Router über eine öffentlich zugängliche Schnittstelle Konfigurationseinstellungen erhalten können. Solche Funktionen werden klassischerweise von Internetprovidern genutzt, um Konfigurationsupdates an Kunden zu verteilen.

Unsinnige Empfehlung für ZoneAlarm

Die Kommunikation von TR-069 wird über HTTP-Anfragen abgewickelt, das führt auch dazu, dass die Lücke von außen ausgenutzt werden kann. Doch hier wird man stutzig. Denn Check Point empfiehlt in einem Blogeintrag als Abhilfe für Nutzer von betroffenen Geräten, sich die Personal Firewall ZoneAlarm zu installieren. Passend gibt es die gerade im Sonderangebot für 9,95 Dollar. Eine Empfehlung, die kaum Sinn ergibt. Denn eine Personal Firewall kann nur Angriffe auf einen Client-PC abwehren, aber nicht auf einen öffentlich im Internet zugänglichen Router. Viele IT-Sicherheitsexperten halten zudem generell Personal Firewalls für ein fragwürdiges Sicherheitskonzept.

Ungewöhnlich ist, dass mit einer Memory-Corruption-Lücke gleich Hunderte unterschiedliche Routermodelle angegriffen werden können. Denn die Ausnutzung solcher Lücken ist üblicherweise komplex und hängt von vielen Details wie der exakten Softwareversion und dem Speicherlayout auf dem betroffenen Gerät ab. Check Point hat auf Anfrage von Golem.de bestätigt, dass mit einem einzigen Exploit alle Geräte, die die Firma untersucht hatte, angreifbar waren. Ein PDF-Dokument listet über 200 Geräte auf, die vermutlich von der Lücke betroffen sind, darunter viele von D-Link, Zyxel und TP-Link.

Die Übernahme eines Routers kann ein Angreifer für unterschiedliche Zwecke nutzen. So könnte etwa der Traffic der Nutzer, die über den entsprechenden Router ins Netz gehen, manipuliert werden, beispielsweise, indem Malware in Webseiten eingefügt wird.

Oft keine Routerupdates verfügbar

Das Dilemma: Für viele der betroffenen Geräte wird es vermutlich keine Updates geben. Die Hersteller der entsprechenden Router versorgen diese in aller Regel nur für einen begrenzten Zeitraum von wenigen Jahren mit Aktualisierungen. Danach sind die Geräte aber häufig noch für viele weitere Jahre bei Kunden im Einsatz. Ein besonderes Problem sind Zwangsrouter von Internetprovidern, bei denen Kunden selbst überhaupt keine Updates einspielen können.

Wer eines der mutmaßlich betroffenen Geräte besitzt, sollte dennoch prüfen, ob ein Update für das Gerät verfügbar ist. Falls es eine Option zum Abschalten der Autokonfiguration über TR-069/CWMP gibt, ist das ebenfalls eine Möglichkeit, sich zu schützen. Wer ein älteres Gerät besitzt, für das keine Updates bereitstehen, kann teilweise auf alternative Routerfirmwares wie OpenWRT oder DD-WRT zurückgreifen.

Die Entdecker der Sicherheitslücke wollen weitere Details zu ihrer Entdeckung auf dem bevorstehenden Chaos Communication Congress (31C3) in Hamburg präsentieren. Bleibt zu hoffen, dass dort detailliertere Informationen zu der Lücke präsentiert werden.

Nachtrag vom 19. Dezember 2014, 16:22 Uhr

Wir haben einen Hinweis auf das von uns entwickelte Check-Tool eingefügt.



Anzeige
Hardware-Angebote
  1. 64,90€ (Bestpreis!)
  2. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...
  3. 279,90€
  4. (reduzierte Überstände, Restposten & Co.)

Anonymer Nutzer 27. Jan 2015

Heutzutage telefoniert doch fast jede Software nach Hause. Offiziell um zu Prüfen, ob...


Folgen Sie uns
       


Ghost Recon Breakpoint - Fazit

Das Actionspiel Ghost Recon Breakpoint von Ubisoft schickt Spieler als Elitesoldat Nomad auf eine fiktive Pazifikinsel.

Ghost Recon Breakpoint - Fazit Video aufrufen
IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Funkstandards: Womit funkt das smarte Heim?
Funkstandards
Womit funkt das smarte Heim?

Ob Wohnung oder Haus: Smart soll es bitte sein. Und wenn das nicht von Anfang an klappt, soll die Nachrüstung zum Smart Home so wenig aufwendig wie möglich sein. Dafür kommen vor allem Funklösungen infrage, wir stellen die gebräuchlichsten vor.
Von Jan Rähm

  1. Local Home SDK Google bietet SDK für Smarthomesteuerung im lokalen Netzwerk
  2. GE Smarte Lampe mit 11- bis 13-stufigem Resetverfahren
  3. IoT Smart Homes ohne Internet, geht das? Ja!

WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

    •  /