Misfortune Cookie: Sicherheitslücke in Routern angeblich weit verbreitet

Laut einer Meldung von Check Point sind viele Router von einer Sicherheitslücke betroffen, die eigentlich schon 2005 behoben wurde. Doch die Firma geizt auch auf Anfrage von Golem.de mit Details, die Darstellung liest sich eher wie eine Werbekampagne für die Personal Firewall ZoneAlarm.

Artikel veröffentlicht am , Hanno Böck
Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen
Misfortune Cookie - eine Sicherheitslücke mit vielen Fragezeichen (Bild: Check Point)

Eine Meldung über eine angebliche Sicherheitslücke in Embedded-Routern verunsichert Anwender. Falls die Details stimmen, wäre es eine relativ gravierende Lücke, doch prüfen lässt sich das kaum. Die Meldung der israelischen Firma Check Point enthält wenig konkrete Details zu der Lücke, die den Namen Misfortune Cookie erhalten hat. Nicht gerade vertrauenerweckend wirkt dabei, dass Check Point die Lücke zum Anlass nimmt, für sein Produkt ZoneAlarm zu werben, obwohl völlig unklar ist, in welcher Weise ZoneAlarm hier schützen soll. Nutzer können nun mit einem vom Autor dieses Artikels bereitgestellten Online-Tool prüfen, ob ihr Router betroffen ist.

HTTP-Server Rompager in Routerfirmware integriert

Stellenmarkt
  1. Technical Consultants (m/w/d)
    Necara GmbH, Ingelheim am Rhein
  2. IT-Anwendungsbetreuer/Web-Ad- ministrator (m/w/d)
    Bayerische Versorgungskammer, München
Detailsuche

Laut der Darstellung von Check Point handelt es sich um eine nicht näher erklärte Memory-Corruption-Lücke in der Verarbeitung von Cookies. Die Lücke befindet sich in der Software Rompager. Rompager ist ein HTTP-Server der Firma Allegrosoft, der in vielen Routern zum Einsatz kommt. Laut Check Point wurden bei einem Internetscan etwa 12 Millionen Geräte gefunden, die eine verwundbare Version von Rompager nutzen.

Offenbar wurde der entsprechende Fehler bereits 2005 von Allegrosoft gefunden und behoben. Wie uns Shahar Tal von Check Point mitteilte, hatte Allegrosoft zunächst nicht erkannt, dass es sich um eine kritische Sicherheitslücke handelt und den Fehler behoben, ohne ihn öffentlich zu machen. Obwohl das Problem bereits 2005 beseitigt worden sei, seien immer noch zahlreiche Router verwundbar. Scheinbar haben viele Routerhersteller die entsprechenden Updates von Allegrosoft nicht übernommen und weiterhin ältere Versionen des HTTP-Servers in ihre Firmware integriert. Behoben wurde die Lücke in Rompager 4.34. Insbesondere die verbreitete Version 4.07 ist laut Check Point aber noch betroffen. Die verwendete Firmwareversion kann man anhand des HTTP-Headers oder über das bereits erwähnte Online-Checktool prüfen.

Die Lücke greift das Protokoll TR-069/CWMP an. Dabei handelt es sich um einen Standard, mit dem Router über eine öffentlich zugängliche Schnittstelle Konfigurationseinstellungen erhalten können. Solche Funktionen werden klassischerweise von Internetprovidern genutzt, um Konfigurationsupdates an Kunden zu verteilen.

Unsinnige Empfehlung für ZoneAlarm

Golem Akademie
  1. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    29./30.06.2022, virtuell
  2. Jira für Systemadministratoren: virtueller Zwei-Tage-Workshop
    02./03.06.2022, virtuell
Weitere IT-Trainings

Die Kommunikation von TR-069 wird über HTTP-Anfragen abgewickelt, das führt auch dazu, dass die Lücke von außen ausgenutzt werden kann. Doch hier wird man stutzig. Denn Check Point empfiehlt in einem Blogeintrag als Abhilfe für Nutzer von betroffenen Geräten, sich die Personal Firewall ZoneAlarm zu installieren. Passend gibt es die gerade im Sonderangebot für 9,95 Dollar. Eine Empfehlung, die kaum Sinn ergibt. Denn eine Personal Firewall kann nur Angriffe auf einen Client-PC abwehren, aber nicht auf einen öffentlich im Internet zugänglichen Router. Viele IT-Sicherheitsexperten halten zudem generell Personal Firewalls für ein fragwürdiges Sicherheitskonzept.

Ungewöhnlich ist, dass mit einer Memory-Corruption-Lücke gleich Hunderte unterschiedliche Routermodelle angegriffen werden können. Denn die Ausnutzung solcher Lücken ist üblicherweise komplex und hängt von vielen Details wie der exakten Softwareversion und dem Speicherlayout auf dem betroffenen Gerät ab. Check Point hat auf Anfrage von Golem.de bestätigt, dass mit einem einzigen Exploit alle Geräte, die die Firma untersucht hatte, angreifbar waren. Ein PDF-Dokument listet über 200 Geräte auf, die vermutlich von der Lücke betroffen sind, darunter viele von D-Link, Zyxel und TP-Link.

Die Übernahme eines Routers kann ein Angreifer für unterschiedliche Zwecke nutzen. So könnte etwa der Traffic der Nutzer, die über den entsprechenden Router ins Netz gehen, manipuliert werden, beispielsweise, indem Malware in Webseiten eingefügt wird.

Oft keine Routerupdates verfügbar

Das Dilemma: Für viele der betroffenen Geräte wird es vermutlich keine Updates geben. Die Hersteller der entsprechenden Router versorgen diese in aller Regel nur für einen begrenzten Zeitraum von wenigen Jahren mit Aktualisierungen. Danach sind die Geräte aber häufig noch für viele weitere Jahre bei Kunden im Einsatz. Ein besonderes Problem sind Zwangsrouter von Internetprovidern, bei denen Kunden selbst überhaupt keine Updates einspielen können.

Wer eines der mutmaßlich betroffenen Geräte besitzt, sollte dennoch prüfen, ob ein Update für das Gerät verfügbar ist. Falls es eine Option zum Abschalten der Autokonfiguration über TR-069/CWMP gibt, ist das ebenfalls eine Möglichkeit, sich zu schützen. Wer ein älteres Gerät besitzt, für das keine Updates bereitstehen, kann teilweise auf alternative Routerfirmwares wie OpenWRT oder DD-WRT zurückgreifen.

Die Entdecker der Sicherheitslücke wollen weitere Details zu ihrer Entdeckung auf dem bevorstehenden Chaos Communication Congress (31C3) in Hamburg präsentieren. Bleibt zu hoffen, dass dort detailliertere Informationen zu der Lücke präsentiert werden.

Nachtrag vom 19. Dezember 2014, 16:22 Uhr

Wir haben einen Hinweis auf das von uns entwickelte Check-Tool eingefügt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Halbleiter & SMIC
Chip-Nachfrage für Smartphones und PC fällt "wie ein Stein"

Chinesische Kunden von SMIC haben volle Lager und ordern weniger Chips. Andere Halbleiter sollen den Einbruch auffangen.

Halbleiter & SMIC: Chip-Nachfrage für Smartphones und PC fällt wie ein Stein
Artikel
  1. Google: Russland will Youtube aus Selbstschutz nicht blockieren
    Google
    Russland will Youtube aus Selbstschutz nicht blockieren

    Die zahlreichen Drohungen der russischen Zensurbehörde zur Blockade von Youtube werden wohl nicht umgesetzt. Die Auswirkungen wären zu stark.

  2. Arclight Rumble: Wegen Warcraft Mobile sollte sich Blizzard selbst verklagen!
    Arclight Rumble
    Wegen Warcraft Mobile sollte sich Blizzard selbst verklagen!

    Golem.de hat es gespielt: Arclight Rumble entpuppt sich als gelungenes Mobile Game - aber wie ein echtes Warcraft fühlt es sich nicht an.
    Von Peter Steinlechner

  3. Biontech: Mainz kann 365-Euro-ÖPNV-Ticket dank Corona einführen
    Biontech
    Mainz kann 365-Euro-ÖPNV-Ticket dank Corona einführen

    In Mainz ist Biontech beheimatet, was die Steuereinnahmen explodieren lässt. Mit dem Geld wird nun ein 365-Euro-Jahresticket für Schüler und Azubis finanziert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /