Responsible Disclosure: Vom Finden und Melden von Sicherheitslücken

Im Auftrag eines ISP habe ich mehrere Sicherheitslücken in einem Cisco-Router gefunden. Hier erkläre ich, wie ich vorgegangen bin.

Ein Erfahrungsbericht von Marco Wiorek veröffentlicht am
Manchmal liegen die Sicherheitslücken fast schon auf der Hand.
Manchmal liegen die Sicherheitslücken fast schon auf der Hand. (Bild: mastersenaiper/Pixabay)

Sie sind keine Ausnahmeerscheinung, sondern allgegenwärtig: Schwachstellen in Geräten und ihrer Software. Auch große Hersteller wie Cisco sind davor nicht gefeit und müssen sich gelegentlich von Außenstehenden Fehler aufzeigen lassen, die vermeidbar sind. So auch zuletzt, als schwerwiegende Lücken in der Firmware einiger Router gefunden wurden.

Inhalt:
  1. Responsible Disclosure: Vom Finden und Melden von Sicherheitslücken
  2. Wie ein Angriffsszenario entsteht
  3. Das darf keinem Hersteller passieren

Bei meiner Arbeit als Produkt- und Softwareentwickler für einen mittelständischen ISP bekomme ich hin und wieder neue Geräte in die Hände, die Kandidaten für den Einsatz beim Kunden sein könnten. Dabei handelt es sich meist um Router verschiedenster Hersteller und Preissegmente, die unter anderem auf Kompatibilität zu unserer Hardware und eingesetzten Diensten getestet werden sollen. Zusätzlich durchlaufen die Geräte eine Sicherheitsprüfung, um den späteren Supportaufwand zu minimieren.

Vor einiger Zeit bekam ich einen ONT-Router (CGP-ONT-4TVCW) von Cisco, der tatsächlich mal nach etwas aussah, das man Kunden in die Wohnung stellen kann und nicht im Schrank verstecken muss wie die Metallkisten der Schwester-Modelle. Die Kunststoffausführung hat nebenbei gesagt einen praktischen Grund: WLAN, das vom Metallgehäuse sonst nur mittels externer Antenne abgestrahlt werden könnte.

Wer sich fragt, was ein ONT (Optical Network Terminal) ist: Wenn in einem Mehrfamilienhaus statt Kupfer Glasfaser verlegt wird, ist ein Router erforderlich, der einen entsprechenden Anschluss hat. Dieses konkrete Modell kann sogar ein auf das Glas moduliertes TV-Signal an einem Koaxialanschluss ausgeben, was es für bestimmte Kundengruppen attraktiv macht, da sich daran auch ältere TV-Modelle anschließen lassen.

Stellenmarkt
  1. Qualifizierter Sachbearbeiter (m/w/d) Digitalisierung / Datenbanken
    Bundesarbeitsgemeinschaft für Rehabilitation e.V., Frankfurt am Main
  2. Software Consultant/IT-Projektmanager (m/w/d) Versandlogistik
    ecovium GmbH, Neustadt am Rübenberge
Detailsuche

Nach anfänglicher Verwunderung über das angenehme Design verbinde ich mich per LAN mit dem Router und werfe einen Blick auf die Weboberfläche. Auch da fährt Cisco einen deutlich moderneren Kurs als bei seinen Enterprise-Geräten. Es sieht insgesamt sehr stimmig aus, man findet sich ganz gut zurecht, und es ist alles vorhanden, was man bei einem Gerät dieser Klasse erwartet.

Auch schöne Router haben Sicherheitslücken

Zu Beginn muss ein neuer Benutzer nebst Passwort angelegt werden, was ich richtig und wichtig finde, da sich ein marktübliches admin:admin zwar leicht merken, aber eben auch leicht erraten lässt.

  • Der ONT-Router CGP-ONT-4TVCW von Cisco. (Quelle:  Marco Wiorek)
Der ONT-Router CGP-ONT-4TVCW von Cisco. (Quelle: Marco Wiorek)

Das Testen läuft meist auf das Abklopfen gängiger Sicherheitslücken hinaus, die teilweise automatisiert werden können, zum Beispiel durch Fuzzing. Hier möchte ich jedoch zeigen, wie sich ohne entsprechende Werkzeuge in dem klassischen "Werden Eingaben des Nutzers geprüft"-Szenario Lücken finden lassen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ich beginne meine Analyse bei Ping

Meist beginne ich damit, sämtliche Eingabefelder, die im Entferntesten danach aussehen, Systembefehle abzusetzen oder zumindest Parameter beizusteuern, mit einer Command-Injection zu füllen. Eines meiner Lieblingsziele ist dabei oft unter Diagnose zu finden: Ping. Klingt nach nicht viel, wird aber leider oft stiefmütterlich behandelt und endet meist nicht in einer Implementierung der Ping-Funktion, sondern einem stumpfen Systembefehl, der im schlechtesten Fall als Root oder anderer Systembenutzer ausgeführt wird.

Schnell wird klar, dass nur Eingaben im Format einer IPv4-Adresse erlaubt sind, und das ist in erster Linie gut. Bei genauerem Hinsehen ist es jedoch nicht hilfreich, da es nur eine clientseitige Verifikation im Javascript ist. Also gebe ich 127.0.0.1 ein und starte den Ping. Parallel dazu gucke ich mir den Request nebst Parametern an und siehe da, das Ganze geht als POST nach

https://192.168.1.1/boaform/formPingCs.

Dabei werden die Variablen IpAddr, wanif und postSecurityFlag, also die IP, das Interface, über das der Ping gehen soll und eine Prüfsumme mit den Werten 127.0.0.1, nas0_0 und 68941, übergeben. Zusätzlich läuft ein weiterer Request im Sekundentakt, der das Ergebnis in eine Textbox schreibt. Nimmt man ersteren Request und führt ihn mit "curl" aus, wird man schnell enttäuscht, denn die Prüfsumme stimmt leider nicht. Also versuche ich rauszufinden, wie der Wert gebildet wird.

Ich gucke mir dazu den Webseiten-Quelltext an, um ernüchtert festzustellen, dass die Funktion nicht etwa webserverseitig beim Seitenaufruf übergeben wird. Vielmehr wird sie im Javascript durch Verschieben von Bits erstellt. Mit diesem Wissen kann ich für jeden Aufruf eine gültige Prüfsumme generieren und statt einer IP einen Wert meiner Wahl als IpAddr-Parameter übergeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Wie ein Angriffsszenario entsteht 
  1. 1
  2. 2
  3. 3
  4.  


Jeson 02. Feb 2022

Responsible Disclosure bedeutet ja vor allem, dass man den Hersteller vorab informiert...

KlugKacka 01. Feb 2022

LOL. "Auch große Hersteller wie Cisco sind davor nicht gefeit und müssen sich...

Winetou_Koslowski 25. Jan 2022

Danke!

AllDayPiano 25. Jan 2022

Schlamperei halt.



Aktuell auf der Startseite von Golem.de
Geleaktes One Outlook ausprobiert
Wie Outlook Web, nur besser

Endlich wird das schreckliche Mail-Programm in Windows 10 und 11 ersetzt. One Outlook ist zudem mehr, als nur Outlook im Browser.
Ein Hands-on von Oliver Nickel

Geleaktes One Outlook ausprobiert: Wie Outlook Web, nur besser
Artikel
  1. Recht auf Verschlüsselung: Wissing beunruhigt über Pläne zur Chatkontrolle
    Recht auf Verschlüsselung
    Wissing beunruhigt über Pläne zur Chatkontrolle

    In einem ausführlichen Statement hat sich Digitalminister Wissing zu Wort gemeldet. Die Pläne zur Chatkontrolle gehen ihm zu weit.

  2. Was man aus realen Cyberattacken lernen kann
     
    Was man aus realen Cyberattacken lernen kann

    "Hätte ich das mal vorher gewusst!" Die Threat Hunter von Sophos haben ihre Erfahrungen im täglichen Kampf gegen Cyberkriminelle in einem Kompendium zusammengefasst. Jedes Kapitel enthält praxisorientierte IT-Sicherheitsempfehlungen für Unternehmen.
    Sponsored Post von Sophos

  3. Vizio: GPL-Durchsetzung darf als Verbraucherklage verhandelt werden
    Vizio
    GPL-Durchsetzung darf als Verbraucherklage verhandelt werden

    Erstmals erkennt ein US-Gericht an, dass aus der GPL auch Verbraucherrechte folgen könnten. Die Kläger bezeichnen das als "Wendepunkt".

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /