Abo
  • Services:

Unitymedia: Kritische Sicherheitslücken in zehntausenden Zwangsroutern

Erneut ist ein Router vom Typ Ubee von schweren Sicherheitsproblemen betroffen. Angreifer können Admin-Zugang erlangen und beliebige Kommandos auf dem Gerät ausführen. Das Gerät wird unter anderem von Unitymedia eingesetzt.

Artikel veröffentlicht am ,
Auch in puncto Pressebilder hat Ubee noch Potenzial.
Auch in puncto Pressebilder hat Ubee noch Potenzial. (Bild: Screenshot:Golem.de)

Allein in Deutschland sind 90.000 Router von Unitymedia-Kunden für kritische Sicherheitslücken anfällig. Sie betreffen den Router mit der Bezeichnung Ubee EVW3226. Die Schwachstelle wurde von dem Österreicher Manuel Hofer gefunden.

Stellenmarkt
  1. DZ PRIVATBANK S.A., Luxemburg
  2. EWM AG, Mündersbach

Offenbar müssen sich Nutzer der Geräte vor dem Herunterladen der Konfigurationsdateien mit nicht Admin-Rechten anmelden. Angreifer können also aus dem lokalen Netzwerk heraus die Konfigurationsdatei des Gerätes auf ihren Rechner herunterladen.

In dieser Datei speichert der Router das Administratorpasswort im Klartext ab. Angreifer, die die Konfigurationsdatei des Gerätes analysieren, können das Passwort also auslesen. Auch die Backup-Datei des Gerätes wird nach Angaben von Hofer nicht abgesichert, obwohl die Sicherung eigentlich verschlüsselt abgelegt werden soll. Stattdessen wird nur die Datei Pass.txt dem Archiv hinzugefügt, die das vom Nutzer gewählte Verschlüsselungspasswort enthält - wiederum im Klartext.

Kunden in Baden-Württemberg betroffen

Angreifer sollen nach Angaben von Hofer außerdem in der Lage sein, durch einen Fehler in der Busybox-Implementation des Gerätes beliebigen Code auf dem Router auszuführen.

Von der Sicherheitslücke betroffen sind Kunden, die in Baden-Württemberg leben, wie uns Unitymedia bestätigte. Das Computer Emergency Response Team des Bundes (CertBUND) bestätigt Hofers Fund. Derzeit gebe es noch kein Sicherheitsupdate des Herstellers, dieses befinde sich noch in der Testphase.

In der vergangenen Woche hatten Sicherheitsforscher ein Tool veröffentlicht, mit dem die Standardkonfiguration aus SSID und WLAN-Passwort der Geräte ermittelt werden kann. Unitymedia hatte alle Kunden aufgefordert, ein eigenes WLAN-Kennwort zu vergeben, wenn sie das vorher noch nicht getan hatten.



Anzeige
Hardware-Angebote
  1. (u. a. 32 GB 6,98€, 128 GB 23,58€)
  2. 34,99€
  3. (u. a. Fractal Design Meshfy Light Tint 69,90€)

SeppKrautinger 12. Jul 2016

http://www.ubeeinteractive.com/products/cable/evw3226

drvsouth 12. Jul 2016

Oh ja. Und dazu noch ein paar Monate in der Sonne reifen/vergilben lassen, damit es auch...

Graveangel 12. Jul 2016

Die Bestandskunden sollen ja den Zwangsrouter behalten. Haftet UM dann für jegliche...

FreiGeistler 12. Jul 2016

Beweisst auch schon der "Fehler in der Busybox-Implementation". "Beliebigen Code...

M.P. 12. Jul 2016

Fast alle aktuellen Zwangsrouter haben in den letzten beiden Monaten einen Update...


Folgen Sie uns
       


Galaxy S10e, Galaxy S10 und Galaxy S10 im Hands on (MWC 2019)

Samsung hat seine neue Galaxy-S10-Serie auf mehrere Bildschirmgrößen aufgeteilt. Besonders das "kleine" Galaxy S10e finden wir im Vorabtest interessant.

Galaxy S10e, Galaxy S10 und Galaxy S10 im Hands on (MWC 2019) Video aufrufen
Sailfish X im Test: Die Android-Alternative mit ein bisschen Android
Sailfish X im Test
Die Android-Alternative mit ein bisschen Android

Seit kurzem ist Sailfish OS mit Android-Unterstützung für weitere Xperia-Smartphones von Sony verfügbar. Fünf Jahre nach unserem letzten Test wird es Zeit, dass wir uns das alternative Mobile-Betriebssystem wieder einmal anschauen und testen, wie es auf einem ursprünglichen Android-Gerät läuft.
Ein Test von Tobias Költzsch

  1. Android, Debian, Sailfish OS Gemini PDA bekommt Dreifach-Boot-Option

Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
Tom Clancy's The Division 2 im Test
Richtig guter Loot-Shooter

Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
Von Jan Bojaryn

  1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
  2. Netztest Chip verteilt viel Lob trotz Funklöchern

Uploadfilter: Der Generalangriff auf das Web 2.0
Uploadfilter
Der Generalangriff auf das Web 2.0

Die EU-Urheberrechtsreform könnte Plattformen mit nutzergenerierten Inhalten stark behindern. Die Verfechter von Uploadfiltern zeigen dabei ein Verständnis des Netzes, das mit der Realität wenig zu tun hat. Statt Lizenzen könnte es einen anderen Ausweg geben.
Eine Analyse von Friedhelm Greis

  1. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  2. EU-Urheberrecht Die verdorbene Reform
  3. Leistungsschutzrecht und Uploadfilter EU-Unterhändler einigen sich auf Urheberrechtsreform

    •  /