Abo
  • Services:
Anzeige
Auch in puncto Pressebilder hat Ubee noch Potenzial.
Auch in puncto Pressebilder hat Ubee noch Potenzial. (Bild: Screenshot:Golem.de)

Unitymedia: Kritische Sicherheitslücken in zehntausenden Zwangsroutern

Auch in puncto Pressebilder hat Ubee noch Potenzial.
Auch in puncto Pressebilder hat Ubee noch Potenzial. (Bild: Screenshot:Golem.de)

Erneut ist ein Router vom Typ Ubee von schweren Sicherheitsproblemen betroffen. Angreifer können Admin-Zugang erlangen und beliebige Kommandos auf dem Gerät ausführen. Das Gerät wird unter anderem von Unitymedia eingesetzt.

Allein in Deutschland sind 90.000 Router von Unitymedia-Kunden für kritische Sicherheitslücken anfällig. Sie betreffen den Router mit der Bezeichnung Ubee EVW3226. Die Schwachstelle wurde von dem Österreicher Manuel Hofer gefunden.

Anzeige

Offenbar müssen sich Nutzer der Geräte vor dem Herunterladen der Konfigurationsdateien mit nicht Admin-Rechten anmelden. Angreifer können also aus dem lokalen Netzwerk heraus die Konfigurationsdatei des Gerätes auf ihren Rechner herunterladen.

In dieser Datei speichert der Router das Administratorpasswort im Klartext ab. Angreifer, die die Konfigurationsdatei des Gerätes analysieren, können das Passwort also auslesen. Auch die Backup-Datei des Gerätes wird nach Angaben von Hofer nicht abgesichert, obwohl die Sicherung eigentlich verschlüsselt abgelegt werden soll. Stattdessen wird nur die Datei Pass.txt dem Archiv hinzugefügt, die das vom Nutzer gewählte Verschlüsselungspasswort enthält - wiederum im Klartext.

Kunden in Baden-Württemberg betroffen

Angreifer sollen nach Angaben von Hofer außerdem in der Lage sein, durch einen Fehler in der Busybox-Implementation des Gerätes beliebigen Code auf dem Router auszuführen.

Von der Sicherheitslücke betroffen sind Kunden, die in Baden-Württemberg leben, wie uns Unitymedia bestätigte. Das Computer Emergency Response Team des Bundes (CertBUND) bestätigt Hofers Fund. Derzeit gebe es noch kein Sicherheitsupdate des Herstellers, dieses befinde sich noch in der Testphase.

In der vergangenen Woche hatten Sicherheitsforscher ein Tool veröffentlicht, mit dem die Standardkonfiguration aus SSID und WLAN-Passwort der Geräte ermittelt werden kann. Unitymedia hatte alle Kunden aufgefordert, ein eigenes WLAN-Kennwort zu vergeben, wenn sie das vorher noch nicht getan hatten.


eye home zur Startseite
SeppKrautinger 12. Jul 2016

http://www.ubeeinteractive.com/products/cable/evw3226

drvsouth 12. Jul 2016

Oh ja. Und dazu noch ein paar Monate in der Sonne reifen/vergilben lassen, damit es auch...

Graveangel 12. Jul 2016

Die Bestandskunden sollen ja den Zwangsrouter behalten. Haftet UM dann für jegliche...

FreiGeistler 12. Jul 2016

Beweisst auch schon der "Fehler in der Busybox-Implementation". "Beliebigen Code...

M.P. 12. Jul 2016

Fast alle aktuellen Zwangsrouter haben in den letzten beiden Monaten einen Update...



Anzeige

Stellenmarkt
  1. Simovative GmbH, München
  2. Commerz Finanz GmbH, München
  3. über KÖNIGSTEINER AGENTUR, südwestliches Baden-Württemberg
  4. operational services GmbH & Co. KG, Frankfurt, Berlin


Anzeige
Blu-ray-Angebote
  1. (u. a. Legend of Tarzan, Mad Max: Fury Road, Der Hobbit, Gravity)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Instandsetzung

    Apple macht iPhone-Reparaturen teurer

  2. Energielabels

    Aus A+++ wird nur noch A

  3. Update 1.2

    Gog.com-Client erhält Cloud-Speicheroption und fps-Zähler

  4. HTTPS

    US-Cert warnt vor Man-In-The-Middle-Boxen

  5. Datenrate

    Facebook und Nokia bringen Seekabel ans Limit

  6. Grafikkarte

    Zotac will die schnellste Geforce GTX 1080 Ti stellen

  7. Ab 2018

    Cebit findet künftig im Sommer statt

  8. Google

    Maps erlaubt Teilen des eigenen Standortes in Echtzeit

  9. Datengesetz geplant

    Halter sollen Eigentümer von Fahrzeugdaten werden

  10. Nintendo Switch

    Leitfähiger Schaumstoff löst Joy-Con-Probleme



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobile-Games-Auslese: Würfelkrieger und Kartendiebe für mobile Spieler
Mobile-Games-Auslese
Würfelkrieger und Kartendiebe für mobile Spieler

Mass Effect Andromeda im Test: Zwischen galaktisch gut und kosmischem Kaffeekränzchen
Mass Effect Andromeda im Test
Zwischen galaktisch gut und kosmischem Kaffeekränzchen
  1. Mass Effect Countdown für Andromeda
  2. Mass Effect 4 Ansel und Early Access für Andromeda
  3. Mass Effect Abflugtermin in die Andromedagalaxie

Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware
Live-Linux
Knoppix 8.0 bringt moderne Technik für neue Hardware

  1. Re: daten zu einer sache machen...

    User_x | 07:19

  2. Re: Wenn ich tatsächlich 45.000 verdienen würde

    Jonsch | 07:15

  3. Re: schöne Sache

    MrReset | 07:13

  4. Re: Widerlich

    User_x | 07:12

  5. Re: Braucht man das? (Ernst gemeinte Frage)

    Helites | 07:11


  1. 07:16

  2. 18:59

  3. 18:42

  4. 18:06

  5. 17:39

  6. 17:10

  7. 16:46

  8. 16:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel