TP-Link schließt Sicherheitslücke in alten Routern, die die Ausführung von Code ermöglicht

Der Router-Hersteller TP-Link hat eine Sicherheitslücke in Modellen geschlossen, die nicht mehr produziert werden. Im Falle einer Ausnutzung hätte mit Hilfe dieser Sicherheitslücke Code auf dem Gerät ausgeführt werden können.

Die Forscher des Unternehmens Senrio, das auf die Sicherheit im Internet der Dinge spezialisiert ist, haben eine Schwachstelle im Konfigurationsdienst der Router TP-Link PTWR841N V8 entdeckt.

Bereits im vergangenen Sommer hatten sie es mit einer ähnlichen Sicherheitslücke zu tun – sie betraf ebenfalls den Konfigurationsdienst eines „intelligenten“ Geräts. Damals ging es um eine angreifbare Komponente in der Firmware von mehr als hunderten Wlan-Kameramodellen von D-Link, aufgrund derer sie entfernten Angriffen ausgesetzt werden könnten.

Doch zurück zu den Routern: Die Forscher waren in der Lage, unter Ausnutzung des Fehlers in der Firmware, die Daten auf null setzen, die zum Einloggen ins Konfigurationszentrum der Geräte verwendet werden, und daraufhin erhielten sie die Möglichkeit, Code auf dem Gerät auszuführen, indem sie einen Pufferüberlauf ausnutzten.

Nachdem die Forscher von Senrio die Mitarbeiter der IT-Sicherheitsabteilung bei TP-Link darauf hingewiesen hatten, stimmten diese zu, den Konfigurationsdienst aus dem entsprechenden Router-Modell zu entfernen, obwohl diese Produktfamilie gar nicht mehr hergestellt wird.

Die Forscher begrüßen diesen Schritt seitens des Unternehmens, auch wenn sie befürchten, dass viele Nutzer dieser Router höchstwahrscheinlich nicht die neuste, gepatchte Version der Firmware verwenden. Den Zahlen von Shodan nach zu urteilen werden weltweit mindestens 93.328 dieser Router verwendet.

Solange die Sicherheitslücke noch nicht geschlossen war, konnte sie in einer Attacke mit einem in der Nähe befindlichen Smartphone ausgenutzt werden, auf dem die Hotspot-Funktion aktiviert ist. Diese Attacke beinhaltet das Versenden einer gewissen Zahl von Befehlen auf das Zielgerät. Wir beschreiben das einmal etwas genauer.

Der Konfigurationsdienst ermöglichte es einem Nutzer, der sich im Netz befand, Systemeinstellungen zu lesen und zu schreiben. Beliebige Befehlsparameter, mit deren Hilfe das gemacht wurde, mussten mit Hilfe eines Schlüssels chiffriert sein, der auf der Grundlage der Daten über Nutzername und Passwort für die Anmeldung bei der Konfiguration generiert worden ist. Da es den Forschern gelungen ist, eine verschlüsselte Version des Textes von diesem Konfigurationsdienst zu erhalten, wurde ihnen klar, dass er kopiert und zurückgeschickt werden kann wie die Befehlsparameter auch. Die Forscher gaben dem Hotspot auf dem Smartphone einen Namen, der mit dem verschlüsselten Bild des Textes übereinstimmt, und schickten auf den Router dann den Befehl, einen in der Nähe befindlichen Hotspot zu suchen. Vorher hatten sie allerding das Wort „init“ ans Ende des Namens angefügt.

„Wir wussten, dass wir in den 8 Zeichen, die dem uns bereits bekannten Stückchen verschlüsselten Textes folgten, die verschlüsselte Version des Wortes „init“ finden würden“, schreiben die Forscher. „Und wenn wir einmal init in verschlüsselter Form haben, so können wir das Wort jetzt als Parameter für den Befehl benutzen, den Router wieder auf Standardeinstellungen zurückzusetzen. Unter anderem werden dann auch Nutzername und Passwort auf die voreingestellten Werte zurückgesetzt.“

Im Folgenden verwendeten die Forscher einen Angriff mit Pufferüberlauf, um eine kleine Vorstellung zu geben: Sie starteten Code, der den Router dazu brachte, die Lämpchen so blinken zu lassen, dass der Router „Hi Senrio“ in den Äther morste.

Ein Video mit der Demonstration der Attacke findet sich in dem Blogpost, der diese Sicherheitslücke behandelt und der vergangenen Montag veröffentlicht wurde.

Wie eine kürzlich veröffentlichte Untersuchung von Mitarbeitern der israelischen Ben-Gurion-Universität gezeigt hat, kann ein Router mit Hilfe blinkender Lämpchen nicht nur Scherzbotschaften in den Äther morsen, sondern auch wichtige Daten. Die Forscher versichern, dass es ihnen gelungen ist, unter Verwendung eines Routers mit acht Lichtdioden, Daten mit einer Geschwindigkeit von 8.000 Bit pro Sekunde abzugreifen.

Die Forscher von Senrio versichern zudem, dass ein Angreifer die Sicherheitslücke zur Modifizierung der Router-Einstellungen ausnutzen kann, um ihn dazu zu bringen, Traffic auf einen schädlichen Server umzuleiten.

Source: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.