Abo
  • Services:

Unitymedia: Kritische Sicherheitslücken in zehntausenden Zwangsroutern

Erneut ist ein Router vom Typ Ubee von schweren Sicherheitsproblemen betroffen. Angreifer können Admin-Zugang erlangen und beliebige Kommandos auf dem Gerät ausführen. Das Gerät wird unter anderem von Unitymedia eingesetzt.

Artikel veröffentlicht am ,
Auch in puncto Pressebilder hat Ubee noch Potenzial.
Auch in puncto Pressebilder hat Ubee noch Potenzial. (Bild: Screenshot:Golem.de)

Allein in Deutschland sind 90.000 Router von Unitymedia-Kunden für kritische Sicherheitslücken anfällig. Sie betreffen den Router mit der Bezeichnung Ubee EVW3226. Die Schwachstelle wurde von dem Österreicher Manuel Hofer gefunden.

Stellenmarkt
  1. Hochschule RheinMain, Wiesbaden
  2. Evangelischer Oberkirchenrat Stuttgart, Stuttgart

Offenbar müssen sich Nutzer der Geräte vor dem Herunterladen der Konfigurationsdateien mit nicht Admin-Rechten anmelden. Angreifer können also aus dem lokalen Netzwerk heraus die Konfigurationsdatei des Gerätes auf ihren Rechner herunterladen.

In dieser Datei speichert der Router das Administratorpasswort im Klartext ab. Angreifer, die die Konfigurationsdatei des Gerätes analysieren, können das Passwort also auslesen. Auch die Backup-Datei des Gerätes wird nach Angaben von Hofer nicht abgesichert, obwohl die Sicherung eigentlich verschlüsselt abgelegt werden soll. Stattdessen wird nur die Datei Pass.txt dem Archiv hinzugefügt, die das vom Nutzer gewählte Verschlüsselungspasswort enthält - wiederum im Klartext.

Kunden in Baden-Württemberg betroffen

Angreifer sollen nach Angaben von Hofer außerdem in der Lage sein, durch einen Fehler in der Busybox-Implementation des Gerätes beliebigen Code auf dem Router auszuführen.

Von der Sicherheitslücke betroffen sind Kunden, die in Baden-Württemberg leben, wie uns Unitymedia bestätigte. Das Computer Emergency Response Team des Bundes (CertBUND) bestätigt Hofers Fund. Derzeit gebe es noch kein Sicherheitsupdate des Herstellers, dieses befinde sich noch in der Testphase.

In der vergangenen Woche hatten Sicherheitsforscher ein Tool veröffentlicht, mit dem die Standardkonfiguration aus SSID und WLAN-Passwort der Geräte ermittelt werden kann. Unitymedia hatte alle Kunden aufgefordert, ein eigenes WLAN-Kennwort zu vergeben, wenn sie das vorher noch nicht getan hatten.



Anzeige
Top-Angebote
  1. ab 62,98€ (Release am Freitag, mit Vorbesteller-Preisgarantie)
  2. 264,00€
  3. ab 479€
  4. ab 219,00€ im PCGH-Preisvergleich

SeppKrautinger 12. Jul 2016

http://www.ubeeinteractive.com/products/cable/evw3226

drvsouth 12. Jul 2016

Oh ja. Und dazu noch ein paar Monate in der Sonne reifen/vergilben lassen, damit es auch...

Graveangel 12. Jul 2016

Die Bestandskunden sollen ja den Zwangsrouter behalten. Haftet UM dann für jegliche...

FreiGeistler 12. Jul 2016

Beweisst auch schon der "Fehler in der Busybox-Implementation". "Beliebigen Code...

M.P. 12. Jul 2016

Fast alle aktuellen Zwangsrouter haben in den letzten beiden Monaten einen Update...


Folgen Sie uns
       


Drahtlos bezahlen per App ausprobiert

In Deutschland können Smartphone-Besitzer jetzt unter anderem mit Google Pay und der Sparkassen-App Mobiles Bezahlen ihre Rechnungen begleichen. Wir haben die beiden Anwendungen im Alltag miteinander verglichen.

Drahtlos bezahlen per App ausprobiert Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Shine 3: Neuer Tolino-Reader bringt mehr Lesekomfort
Shine 3
Neuer Tolino-Reader bringt mehr Lesekomfort

Die Tolino-Allianz bringt das Nachfolgemodell des Shine 2 HD auf den Markt. Das Shine 3 erhält mehr Ausstattungsdetails aus der E-Book-Reader-Oberklasse. Vor allem beim Lesen macht sich das positiv bemerkbar.
Ein Hands on von Ingo Pakalski

  1. E-Book-Reader Update macht Tolino-Geräte unbrauchbar

    •  /