Abo
  • Services:

Unitymedia: Kritische Sicherheitslücken in zehntausenden Zwangsroutern

Erneut ist ein Router vom Typ Ubee von schweren Sicherheitsproblemen betroffen. Angreifer können Admin-Zugang erlangen und beliebige Kommandos auf dem Gerät ausführen. Das Gerät wird unter anderem von Unitymedia eingesetzt.

Artikel veröffentlicht am ,
Auch in puncto Pressebilder hat Ubee noch Potenzial.
Auch in puncto Pressebilder hat Ubee noch Potenzial. (Bild: Screenshot:Golem.de)

Allein in Deutschland sind 90.000 Router von Unitymedia-Kunden für kritische Sicherheitslücken anfällig. Sie betreffen den Router mit der Bezeichnung Ubee EVW3226. Die Schwachstelle wurde von dem Österreicher Manuel Hofer gefunden.

Stellenmarkt
  1. 50Hertz Transmission GmbH, Berlin
  2. Fresenius Netcare GmbH, Bad Homburg vor der Höhe

Offenbar müssen sich Nutzer der Geräte vor dem Herunterladen der Konfigurationsdateien mit nicht Admin-Rechten anmelden. Angreifer können also aus dem lokalen Netzwerk heraus die Konfigurationsdatei des Gerätes auf ihren Rechner herunterladen.

In dieser Datei speichert der Router das Administratorpasswort im Klartext ab. Angreifer, die die Konfigurationsdatei des Gerätes analysieren, können das Passwort also auslesen. Auch die Backup-Datei des Gerätes wird nach Angaben von Hofer nicht abgesichert, obwohl die Sicherung eigentlich verschlüsselt abgelegt werden soll. Stattdessen wird nur die Datei Pass.txt dem Archiv hinzugefügt, die das vom Nutzer gewählte Verschlüsselungspasswort enthält - wiederum im Klartext.

Kunden in Baden-Württemberg betroffen

Angreifer sollen nach Angaben von Hofer außerdem in der Lage sein, durch einen Fehler in der Busybox-Implementation des Gerätes beliebigen Code auf dem Router auszuführen.

Von der Sicherheitslücke betroffen sind Kunden, die in Baden-Württemberg leben, wie uns Unitymedia bestätigte. Das Computer Emergency Response Team des Bundes (CertBUND) bestätigt Hofers Fund. Derzeit gebe es noch kein Sicherheitsupdate des Herstellers, dieses befinde sich noch in der Testphase.

In der vergangenen Woche hatten Sicherheitsforscher ein Tool veröffentlicht, mit dem die Standardkonfiguration aus SSID und WLAN-Passwort der Geräte ermittelt werden kann. Unitymedia hatte alle Kunden aufgefordert, ein eigenes WLAN-Kennwort zu vergeben, wenn sie das vorher noch nicht getan hatten.



Anzeige
Blu-ray-Angebote
  1. 4,99€
  2. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)
  3. (2 Monate Sky Ticket für nur 4,99€)

SeppKrautinger 12. Jul 2016

http://www.ubeeinteractive.com/products/cable/evw3226

drvsouth 12. Jul 2016

Oh ja. Und dazu noch ein paar Monate in der Sonne reifen/vergilben lassen, damit es auch...

Graveangel 12. Jul 2016

Die Bestandskunden sollen ja den Zwangsrouter behalten. Haftet UM dann für jegliche...

FreiGeistler 12. Jul 2016

Beweisst auch schon der "Fehler in der Busybox-Implementation". "Beliebigen Code...

M.P. 12. Jul 2016

Fast alle aktuellen Zwangsrouter haben in den letzten beiden Monaten einen Update...


Folgen Sie uns
       


Akustische Kamera Soundcam - Bericht

Lärm ist etwas für die Ohren? Nicht nur: Eine akustische Kamera macht Geräuschquellen sichtbar. Damit lassen sich beispielsweise fehlerhafte Teile in einer Maschine erkennen oder der laute Lüfter im Computer aufspüren. Wir haben es ausprobiert.

Akustische Kamera Soundcam - Bericht Video aufrufen
Indiegames-Rundschau: Mutige Mäuse und tapfere Trabbis
Indiegames-Rundschau
Mutige Mäuse und tapfere Trabbis

Grafikwucht beim ganz großen Maus-Abenteuer oder lieber Simulationstiefe beim Mischen des Treibstoffs für den Trabbi? Wieder haben Fans von Indiegames die Qual der Wahl - wir stellen die interessantesten Neuheiten vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Zwischen Fake News und Mountainbiken
  2. Indiegames-Rundschau Tiefseemonster, Cyberpunks und ein Kelte
  3. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass

Patscherkofel: Gondelbahn mit Sicherheitslücken
Patscherkofel
Gondelbahn mit Sicherheitslücken

Die Steuerungsanlage der neuen Gondelbahn am Innsbrucker Patscherkofel ist ohne Sicherheitsmaßnahmen im Netz zu finden gewesen. Ein Angreifer hätte die Bahn aus der Ferne übernehmen können - trotzdem beschwichtigt der Hersteller.
Von Hauke Gierow

  1. Hamburg Sensoren melden freie Parkplätze
  2. Edge Computing Randerscheinung mit zentraler Bedeutung
  3. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger

NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Crimson Canyon Intel plant weiteren Mini-PC mit Radeon-Grafik
  2. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  3. NUC8 Intels Mini-PC hat mächtig viel Leistung

    •  /