Abo
  • Services:
Anzeige
Auch in puncto Pressebilder hat Ubee noch Potenzial.
Auch in puncto Pressebilder hat Ubee noch Potenzial. (Bild: Screenshot:Golem.de)

Unitymedia: Kritische Sicherheitslücken in zehntausenden Zwangsroutern

Auch in puncto Pressebilder hat Ubee noch Potenzial.
Auch in puncto Pressebilder hat Ubee noch Potenzial. (Bild: Screenshot:Golem.de)

Erneut ist ein Router vom Typ Ubee von schweren Sicherheitsproblemen betroffen. Angreifer können Admin-Zugang erlangen und beliebige Kommandos auf dem Gerät ausführen. Das Gerät wird unter anderem von Unitymedia eingesetzt.

Allein in Deutschland sind 90.000 Router von Unitymedia-Kunden für kritische Sicherheitslücken anfällig. Sie betreffen den Router mit der Bezeichnung Ubee EVW3226. Die Schwachstelle wurde von dem Österreicher Manuel Hofer gefunden.

Anzeige

Offenbar müssen sich Nutzer der Geräte vor dem Herunterladen der Konfigurationsdateien mit nicht Admin-Rechten anmelden. Angreifer können also aus dem lokalen Netzwerk heraus die Konfigurationsdatei des Gerätes auf ihren Rechner herunterladen.

In dieser Datei speichert der Router das Administratorpasswort im Klartext ab. Angreifer, die die Konfigurationsdatei des Gerätes analysieren, können das Passwort also auslesen. Auch die Backup-Datei des Gerätes wird nach Angaben von Hofer nicht abgesichert, obwohl die Sicherung eigentlich verschlüsselt abgelegt werden soll. Stattdessen wird nur die Datei Pass.txt dem Archiv hinzugefügt, die das vom Nutzer gewählte Verschlüsselungspasswort enthält - wiederum im Klartext.

Kunden in Baden-Württemberg betroffen

Angreifer sollen nach Angaben von Hofer außerdem in der Lage sein, durch einen Fehler in der Busybox-Implementation des Gerätes beliebigen Code auf dem Router auszuführen.

Von der Sicherheitslücke betroffen sind Kunden, die in Baden-Württemberg leben, wie uns Unitymedia bestätigte. Das Computer Emergency Response Team des Bundes (CertBUND) bestätigt Hofers Fund. Derzeit gebe es noch kein Sicherheitsupdate des Herstellers, dieses befinde sich noch in der Testphase.

In der vergangenen Woche hatten Sicherheitsforscher ein Tool veröffentlicht, mit dem die Standardkonfiguration aus SSID und WLAN-Passwort der Geräte ermittelt werden kann. Unitymedia hatte alle Kunden aufgefordert, ein eigenes WLAN-Kennwort zu vergeben, wenn sie das vorher noch nicht getan hatten.


eye home zur Startseite
SeppKrautinger 12. Jul 2016

http://www.ubeeinteractive.com/products/cable/evw3226

drvsouth 12. Jul 2016

Oh ja. Und dazu noch ein paar Monate in der Sonne reifen/vergilben lassen, damit es auch...

Graveangel 12. Jul 2016

Die Bestandskunden sollen ja den Zwangsrouter behalten. Haftet UM dann für jegliche...

FreiGeistler 12. Jul 2016

Beweisst auch schon der "Fehler in der Busybox-Implementation". "Beliebigen Code...

M.P. 12. Jul 2016

Fast alle aktuellen Zwangsrouter haben in den letzten beiden Monaten einen Update...



Anzeige

Stellenmarkt
  1. AKDB, München, Regensburg, Bayreuth
  2. Bosch Service Solutions Magdeburg GmbH, Berlin, Magdeburg
  3. dSPACE GmbH, Paderborn
  4. Smartsteuer GmbH, Hannover


Anzeige
Blu-ray-Angebote
  1. 49,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Minecraft

    Eine Server-Farm für (fast) alle Klötzchenbauer

  2. Kabelnetz

    Unitymedia bringt neue Connect App, Booster und Sprachsuche

  3. PowerVR 9XE/9XM und PowerVR 2NX

    Imagination Technologies bringt eigenen AI-Beschleuniger

  4. Auslastung

    Wenn es Abend wird im Kabelnetz

  5. Milliarden-Deal

    Google kauft Teile der HTC-Smartphone-Sparte

  6. MPEG

    H.265-Nachfolger kann 30 bis 60 Prozent Verbesserung bringen

  7. Liberty Global

    Giga-Standard Docsis 3.1 kommt im ersten Quartal 2018

  8. Apache-Sicherheitslücke

    Optionsbleed bereits 2014 entdeckt und übersehen

  9. Tianhe-2A

    Zweitschnellster Supercomputer wird doppelt so flott

  10. Autonomes Fahren

    Japan testet fahrerlosen Bus auf dem Land



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  2. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro
  3. Apple iPhone 8 und iPhone 8 Plus lassen sich drahtlos laden

Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

  1. Re: Mal was positives.

    HansiHinterseher | 10:56

  2. Re: Habe es immer noch nicht ganz verstanden

    PaulchenPanther | 10:56

  3. Fakenews: Am 01.01.2023 wird das UKW-Radio stumm...

    Spaghetticode | 10:55

  4. Re: Latenzen, Packet Loss

    joypad | 10:55

  5. Re: Upload höher als bei DSL?

    HansiHinterseher | 10:55


  1. 10:03

  2. 10:00

  3. 09:00

  4. 08:00

  5. 07:10

  6. 07:00

  7. 18:10

  8. 17:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel