News Unitymedia: Schwachstelle ermöglicht Übernahme des Routers EVW3226

[Daniel]

Der Router EVW3226 der Firma Ubee, von Unitymedia bei zahlreichen Kunden in Deutschland eingesetzt, weist eine als kritisch eingestufte Sicherheitslücke auf, mit der es möglich ist, die Kontrolle über den Router zu übernehmen. Der Angriff ist jedoch nur über das lokale Netzwerk möglich.

Zur News: Unitymedia: Schwachstelle ermöglicht Übernahme des Routers EVW3226

 

[RainbowSix5]

Dass die Schwachstelle nur aus dem lokalen Netz ausgenuzt werden kann, ist ein sehr schwacher Trost.
Es gibt so viele Wege von außen Code im lokalen Netz auszuführen. JavaScript auf einer bösartigen Website sei als Beispiel genannt.
Aber zum Glück ist der Routerzwang ja abgeschafft und alle können sich jetzt einen sicheren Router kaufen... Oh warte, gilt ja nur für neue Verträge :-(

 

[Hyourinmaru]

... ist bereits seit Anfang Januar dem Hersteller Ubee bekannt, der es bislang aber versäumt hat, die Firmware entsprechend zu aktualisieren.

7 Monate Leerzeit, hätte schon längst gefixt werden können. Geht gar net sowas, setzen, 6!
Ein Grund mehr, die Dinger ab 1. August nicht mehr zu verwenden. Denn, wer weiß, wann der Fix veröffentlicht wird.

 

[DeusoftheWired]

Der Angriff ist jedoch nur über das lokale Netzwerk möglich.

Da es erfahrungsgemäß Ewigkeiten dauert, bis DOCSIS-Betreiber Sicherheitsaktualisierungen ausrollen, sollten betroffene sicherheitsbewußte Anwender bis dahin die WLAN-Funktion ihres EVW3226 deaktivieren und entweder bei Kabelverbindungen bleiben, einen alten Router zum Access-Point umfunktionieren oder ein Übergangsgerät erwerben, das es ab ca. 15 € gibt das Standardpasswort des WLANs ändern, sofern noch nicht geschehen.

Es gibt so viele Wege von außen Code im lokalen Netz auszuführen. JavaScript auf einer bösartigen Website sei als Beispiel genannt.

Kannst du das näher ausführen?

 

[Bigfoot29]

War es nicht eines der Argumente der Kabelanbieter, dass nur bei Betreiberboxen die Updates von Betreiberseite aus durchgeführt werden können und sie damit inherent sicherer als freie Produkte sind? Wo sind denn jetzt die Betreiber-Updates?

@CB: Wie wäre es, wenn ihr ein Bild der Box anstelle des generischen Switch-Bildes einstellt? Mit der Bezeichnung selbst kann wohl kaum jemand ohne weitere Recherche was anfangen. Danke.

Regards, Bigfoot29

 

[G00fY]

@DeusoftheWired: Warum WLAN abstellen? Ist das WLAN durch ein ausreichend sicheres WPA2 Kennwort nicht geschützt? Sehe jetzt den Zusammenhang mit der Sicherheitslücke nicht. Wenn jemand im privaten Netzwerk ist, hat er mitunter eh schon Zugriff auf sensible Daten und Freigaben.

Ich frage mich gerade wie es aussieht, wenn das ganze in einem Gastnetzwerk des umstrittenen UM Hotspot Netzwerks mal auftritt. Genau solche Szenarien zeigen doch wie gefährlich das ganze ist. Angenommen dort exisiert die Lücke ebenfalls, das Auslesen des privaten Netzwerkschlüssel wäre dann evtl. auch möglich.

 

[Candy_Cloud]

Hab die Kiste, aber:

-WLAN Paket nicht gebucht also deaktiviert
-Hinter einem anderen Router/AP via WAN.

Das die Kiste nix taugt war mir schon klar als sie hier ankam im Paket. Ein Hersteller der sonst nix zu melden hat in DE ist immer sehr vertrauenswürdig...

 

[Don Kamillentee]

Ist das der Router, der die freien WLAN Spots zur Verfügung stellt? ^^

 

[DeusoftheWired]

@G00fY: Stimmt, da hast du recht. Ich passe die Passage oben an.

Das ganze wird nur in Verbindung mit dem Standardpasswort für das WLAN gefährlich:

https://www.heise.de/security/meldu...-Router-leicht-zu-rekonstruieren-3258814.html

https://www.heise.de/security/meldu...Passwort-von-UPC-WLAN-Routern-an-3258223.html

 

[Wilhelm14]

Ja, ja. Und Zwangsrouter sollten mal die Sicherheit erhöhen. Demnächst hat man als Kunde immerhin die Möglichkeit und ist nicht dem Anbieter ausgesetzt.

Ich frage mich gerade wie es aussieht, wenn das ganze in einem Gastnetzwerk des umstrittenen UM Hotspot Netzwerks mal auftritt.

Frage ich mich auch. Ich gehe aber davon aus, dass das Hotspotnetz ein separates ist, ein komplett anderes Subnetz, VLAN oder ähnlich.

 

[RainbowSix5]

Kannst du das näher ausführen?

Klar. Nehmen wir mal an, die Schwachstelle lässt sich über HTTP(S) ausnutzen und ein Angreifer hat Kontrolle über eine Website, die ich aus besagtem lokalen Netz aus aufrufe. (Also wie die meisten gerade dise Seite hier, nicht das CB bösartig wäre)

Nun kann ich als Angreifer ja beliebigen Javascript Code auf der Website platzieren z.B. um den Router anzusprechen (normalerweise haben die eine Standard-URL) um die Schwachstelle auszunutzen. In diesem Fall (rein spekulativ): Anfrage über REST-API für die Passwort-Datei --> Ändern der Einstullunge über Web-API (mit den erbeuteten Passwörtern).

Und das alles ohne das der Benutzer es mitbekommt. Das fiese daran ist, dass ich aus Sicht des Routers im lokalen Netz bin, da JavaScript ja auf dem Client ausgeführt wird.

Ähnliches kann man sich mit Apps auf dem Smartphone, HTML-Mails, etc. Vorstellen. Eben bei allem, dass Code auf dem Client ausführen kann.

VG
RS5

 

[deo]

Die meisten werden schon stolz sein, wenn sie mit ihrem Smartphone, Tablett oder Laptop im WLAN sind und erst gar nicht auf die Idee kommen, das Standardpasswort zu ändern, das auf dem außen angebrachten Typenschild steht.
Zudem wird einfach die WPS -Taste gedrückt, um ein neues Gerät mit dem WLAN zu verbinden.
Heutzutage muss alles bequem gehen.

 

[Fragger911]

Und der WLAN-Hotspotspass ist dann auch noch Opt-Out... HAHAHAHA, ne Danke Kabelnetzbetreiber im Allgemeinen, Unity Media im Speziellen, soweit reicht eure Entmündigungsmacht dann doch nicht.
Und die Argumentation für Zwangsrouter wird um ein weiteres Detail dünner - bitte mehr davon UM.

 

[DeusoftheWired]

@RainbowSix5: Danke für die Beschreibung! Laut Anleitung ist die Werks-IP 192.168.0.1, Benutzername admin, Kennwort admin. Mit einem Schnipsel JS müßte man dann eine Anfrage an diese IP schicken und die Schwachstelle ausnutzen. Das Schöne ist, daß die Schwachstelle das Auslesen der Konfiguration ohne Authentifizierung erlaubt, man ist also selbst dann betroffen, wenn man das Passwort des admin-Kontos geändert hat. Die .txt sagt es nicht ausdrücklich, aber ich gehe davon aus, daß sich auch das WLAN-Passwort aus der Konfigurationsdatei lesen läßt. Das würde einem zwar nur etwas nützen, wenn man nicht wie eine böse Seite „draußen“ ist, sondern vor Ort, aber immerhin.

Jetzt frage ich mich, ob Browser generell auf Ressourcen im LAN zugreifen dürfen, denn dann hätte man das gleiche Problem ja mit allen Routern, die eine Werks-IP und vorgegebenes admin-Konto sowie -Passwort verwenden.

 

[Eagle-PsyX-]

Jetzt frage ich mich, ob Browser generell auf Ressourcen im LAN zugreifen dürfen, denn dann hätte man das gleiche Problem ja mit allen Routern, die eine Werks-IP und vorgegebenes admin-Konto sowie -Passwort verwenden.

Ja, sofern diese Standard-Protokolle wie HTTP(S)/Telnet etc. unterstützen, zu denen die JavaScripts funktionsfähige APIs haben. Manche Router nutzen aber keine URI zum navigieren innerhalb des Webinterfaces etc. Damit wird das schwieriger aber nicht unmöglich. Im Grunde kann man dies durch unterschiedliche Methoden kombiniert ganz gut verhindern. Eigenes Passwort sollte jedoch sowieso Minimum sein.

Über Ubee braucht man nicht wirklich reden. Das Sicherheitskonzept entspricht einer Hausaufgabe eines Grundschülers...

 

[mr-watson]

@CB: Wie wäre es, wenn ihr ein Bild der Box anstelle des generischen Switch-Bildes einstellt? Mit der Bezeichnung selbst kann wohl kaum jemand ohne weitere Recherche was anfangen. Danke.

Regards, Bigfoot29

keine Bildrechte, um es selber zu Fotografieren war das Produkt bestimmt nicht vor Ort.

 

[Scr1p]

Hatte dieses Mistding auch, mit dem konnte man einfach nicht richtig downloaden oder uploaden, immer Einbrüche.

Habe dann Unitymedia darum "gebeten" mir eine Connect Box zu montieren, dazu musste aber erstmal ein Techniker kommen und sich das anschauen, der wollte das erst auch nicht machen. Nach viel diskutieren hat er sie dann aber doch aus dem Auto geholt, ALLE Techniker haben die Connect Box dabei. Lasst die euch einfach geben, seit dem keine Probleme mehr.

 

[Bigfoot29]

Hi. Was ist denn die "Connect Box"? - Ehrliches Interesse.

Regards, Bigfoot29