Sicherheitslücke im Protokoll NAT-PMP gefährdet 1,2 Millionen Heimrouter

Immer wieder tauchen Sicherheitslücken in Geräten auf, insbesondere in Routern für den Heimgebrauch und für Kleinunternehmen. Ein neues ernsthaftes Problem, das diese Woche entdeckt wurde, betrifft mehr als 1,2 Millionen solcher Geräte und führt zu einer inkorrekten Ausführung des NAT-PMP-Protokolls, die seiner eigentlichen Bestimmung zuwiderläuft.

Die Sicherheitslücke eröffnet Cyberkriminellen eine Vielzahl von Möglichkeiten, von denen die gefährlichste die Umleitung des Traffics zu sich selbst ist. Hacker können zudem eine Dienstblockade – Denial of Service – hervorrufen, sich Zugriff auf interne NAT-Client-Services verschaffen und in 100 Prozent der aktuell bekannten Fälle Informationen über die Konfiguration des Geräts erhalten.

Jon Hart, Experte von Rapid7, erklärte, dass das Ausmaß des Problems infolge eines Scans des öffentlichen Teils des Internets im Rahmen des Projektes Sonar erkennbar wurde – eine derzeit laufende Sicherheitsanalyse von Websites und Geräten, auf die über das Internet zugegriffen werden kann.

NAT-PMP, kurz für Network Address Translation Port-Mapping Protocol, also Protokoll zur Adressumsetzung mit Portweiterleitung, ist ein Protokoll auf der Basis des User Datagram Protocol, UDP, das von Netzwerkgeräten verwendet wird, um externen Anwendern Zugriff auf Filesharing-Dienste und andere interne Services hinter einem NAT-Gerät zu ermöglichen. Das Protokoll ist mit einer Reihe von Betriebssystemen kompatibel und war bis vor kurzem auf einigen Apple-Geräten zu finden, unter anderem auf der Wi-Fi-Basisstation Apple AirPort. Laut Hart ist NAT-PMP ein simples Protokoll, das eine akkurate Konfiguration erfordert, andernfalls könnte es nicht autorisiertem Zugriff Tür und Tor öffnen.

Der Scan von Hart ergab, dass 1, 2 Millionen Geräte für Angriffe anfällig sind, die eine schädliche Portweiterleitung ermöglichen könnten, wodurch privater Traffic auf interne und externe Interfaces von NAT-Geräten geleitet werden kann. In der Spezifikation von NAT-PMP, RFC 6886, wird eigens darauf hingewiesen, dass das NAT-Gateway nicht für den Empfang von Anfragen auf Portweiterleitung von externen IP-Adressen konfiguriert werden darf. „Nur Pakete, die auf dem internen Interface empfangen werden, mit einer Zieladresse, die mit den internen Adressen des NAT-Gateways übereinstimmt, sollten zugelassen werden“, heißt es in der Spezifikation. Einige Hersteller halten sich laut Hart nicht wortwörtlich an die Spezifikation.

Der Sicherheitschef von Rapid7, Moore, erklärte, dass Attacken auf die Sicherheitslücke imProtokoll NAP-PMP bereits seit mindestens zwei Jahren im Open-Source-Project Metasploit geführt werden, und dass sie recht einfach abzuwehren seien. Die Entwicklung eines Patches ist allerdings schwierig, weil der Scan es Rapid7 nicht ermöglicht hat festzustellen, welche Module der Geräte die Sicherheitslücke enthalten, oder zumindest herauszufinden, die Geräte welcher Hersteller betroffen sind.

Moore erklärte, dass das Abfangen des internen Traffics das ernsthafteste Problem in diesem Kontext darstellt.

„Dadurch wird es einem Übeltäter mit einem Control-and-Command-Kit – oder irgendetwas in dieser Art – ermöglicht, Ihr System in einen Reverse Proxy zu verwandeln, der schädlichen Traffic bereitstellt, und eine schädliche Website auf der IP Ihres Routers zu platzieren“, erklärte Moore im Namen von Hart, der nicht zur Verfügung stand. „Sie machen das, indem sie von dem schädlichen System die Weiterleitung von allen angreifbaren Routern auf Sie zurückleiten. Und aufgrund der Art und Weise, wie das System funktioniert, müssen Sie nicht unbedingt wissen, wo sich alle diese Geräte befinden. Sie können sie buchstäblich über den Äther verstäuben.“

Hart erklärte in einem Blog, dass der Traffic, der für Geräte mit NAT-PMP auf dem internen Interface bestimmt ist, weniger gefährdet ist, doch trotzdem kann er zu dem Hacker umgeleitet werden.

„Diese Attacke kann auch dazu benutzt werden, das NAT-PMP-Gerät dazu zu bringen, auf Traffic für Services zu antworten und ihn umzuleiten, die es noch nicht einmal hört”, schreibt Hart. “Wenn ein NAT-PMP-Gerät beispielsweise keinen HTTP-Service auf dem externen Interface hören soll, kann derselbe Bug zur Umleitung der eingehenden HTTP-Anfragen an eine andere externe Adresse genutzt werden, so dass der Eindruck entsteht, als wäre der http-Content vom externen Gerät auf dem NAT-PMP-Gerät platziert.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.