Cable Haunt: Schwachstelle macht Millionen Router angreifbar

Dänische Sicherheitsforscher haben eine Schwachstelle entdeckt, die allein in Europa schätzungsweise 200 Millionen Kabelrouter mit einem Chip von Broadcom betreffen und angreifbar machen soll. Über die Sicherheitslücke „Cable Haunt“ soll sich Schadcode auf betroffenen Routern und Modems ausführen lassen.

Laut Aussagen der drei dänischen Sicherheitsexperten, Alexander Dalsgaard Krog, Jens Hegner Stærmose und Kasper Kohsel Terndrup des Sicherheitsunternehmens Lyrebirds Security Consultancy und des unabhängig operierenden Sicherheitsforschers Simon Vandel Sillesen soll sich die Sicherheitslücke dazu ausnutzen lassen, private Nachrichten abzufangen, Datenverkehr umzuleiten oder an Botnetzen teilzunehmen.

Sicherheitslücke in Broadcom-Chips

Die Schwachstelle liegt demnach in den verbauten Chips von Broadcom, genauer gesagt im Spektrumanalysator, dessen Aufgabe es ist, das Kabelmodem vor Signalstörungen aus dem Koaxialkabel zu schützen. Der Spektrumanalysator kann sowohl per Java Script über eine zuvor mit Schadcode präparierte Website als auch direkt über das lokale Netzwerk angesprochen werden.

Angriff in zwei Schritten

Cable Haunt wird in zwei Schritten ausgenutzt. Der Zugriff auf den anfälligen Endpunkt erfolgt zunächst über einen Client im lokalen Netzwerk, wie beispielsweise einen Webbrowser. Anschließend wird der anfällige Endpunkt von einem Pufferüberlaufangriff getroffen, der dem Angreifer die Kontrolle über das Modem gibt.

Wie die Sicherheitsforscher anführen, ist Cable Haunt nicht auf die Ausführung in einem Webbrowser beschränkt. Jeder Ort, an dem der laufende Code eine IP-Adresse im lokalen Netzwerk erreichen kann, kann zur Ausnutzung der Schwachstelle genutzt werden.

Mit einer sorgfältig präparierten Nachricht kann das Modem des Routers so manipuliert werden, dass beliebiger Schadcode ausführbar wird, der von einem entfernten Angreifer eingeschleust wurde. Hat der Angreifer erst einmal die Kontrolle über den Spektrumanalysator und das Modem erlangt, können diese auf vielerlei Arten missbraucht werden.

• Change default DNS server
• Conduct remote man-in-the-middle attacks
• Hot-swap code or even the entire firmware
• Upload, flash, and upgrade firmware silently
• Disable ISP firmware upgrade
• Change every config file and settings
• Get and Set SNMP OID values
• Change all associated MAC Addresses
• Change serial numbers
• Be exploited in botnet

Mögliche Attacken von Cable Haunt

Auch Netgear, Sagemcom und Technicolor betroffen

Betroffene Router und Modems müssen in der Regel durch den Provider (ISP) per Firmware-Update gegen die Sicherheitslücke abgesichert werden. Ob der eigene Router oder das eigene Modem betroffen sind, kann mit einem Test-Script überprüft werden. Zudem veröffentlichten die vier Experten bereits einen Proof-of-Concept (POC) mit dem Cable Hault auf einem Sagemcom F@ST 3890 ausgenutzt werden kann.

Von der kritischen Sicherheitslücke betroffen sind unter anderem die folgenden Router und Modems von Netgear, Sagemcom, Technicolor, COMPAL und Surfboard:

• Netgear CM1000, Firmware V6.01.02
• Netgear CM1000-1AZNAS, Firmware V5.01.04
• Netgear C6250EMR, Firmware V2.01.05
• Netgear CG3700EMR, Firmware V2.01.03
• Sagemcom F@st 3686, Firmware 4.83.0
• Sagemcom F@st 3890, Firmware 05.76.6.3a
• COMPAL 7284E, Firmware 5.510.5.11
• COMPAL 7486E, Firmware 5.510.5.11
• Surfboard SB8200, Firmware 0200.174F.311915
• Technicolor TC4400, Firmware SR70.12.33-180327
• Technicolor TC7230, Firmware STEB 01.25

Betroffene Router und Modems

Anwender, die über ein betroffenes Modell verfügen und noch kein Firmware-Update erhalten haben, sollten sich umgehend an ihren Provider oder den Hersteller ihres Routers respektive Modems wenden, empfehlen die Sicherheitsforscher.