Thema: Angreifbare NAS´s, Router, Modems & Accesspoints ...

[SiLæncer]

AVM hat eine Konsequenz aus der schweren Sicherheitslücke seiner Router gezogen. Eine Laborversion ermöglicht nun ein automatisches Update der Firmware.

Routerhersteller AVM hat die Laborversion seiner Firmware für die Fritzbox 7490 um eine automatische Update-Funktion ergänzt. "Fritzbox kann periodisch nach neuen Versionen von FritzOS suchen und diese automatisch zu einem geeigneten Zeitpunkt installieren", heißt es in der aktuellen Liste der Änderungen vom 6. Juni 2014. Mit dieser Version (113.06.10-28144) lässt sich auswählen, ob der Router nur notwendige Updates wie Sicherheitsupdates automatisch installiert, alle Updates installiert oder lediglich auf neue Updates hinweist. Voreingestellt sei die automatische Installation von Sicherheitsupdates.

Der ganze Artikel

Quelle : www.golem.de

[SiLæncer]

Neun Consumer-Router und Kabelmodems von Cisco sind anfällig für eine kritische Lücke, die es Angreifern aus dem Netz ermöglicht, das Gerät zu kapern. Auch deutsche Provider setzten die betroffenen Modelle ein.

Cisco hat ein Update für eine kritische Sicherheitslücke veröffentlicht, die eine Reihe seiner Consumer-Router und Kabelmodems verwundbar für die Ausführung von Schadcode aus dem Netz macht (CVE-2014-3306). Durch Ausnutzen der Lücke kann ein Angreifer mit einem präparierten HTTP-Request einen Pufferüberlauf im Webserver der Geräte auslösen und Code ausführen, ohne sich vorher anmelden zu müssen.

Insgesamt sind neun verschiedene Modelle von der Lücke betroffen:

    DPC3212 VoIP-Kabelmodem
    DPC3825 Modem-Router
    EPC3212 VoIP-Kabelmodem
    EPC3825 Modem-Router
    DPC3010 Kabelmodem
    DPC3925 Modem-Router
    DPQ3925 Modem-Router
    EPC3010 Kabelmodem
    EPC3925 Modem-Router

Außer einem Software-Update gibt es laut Cisco keine Möglichkeit, das Problem zu umgehen. Die Firma hat entsprechende Firmware-Aktualisierungen zur Verfügung gestellt und empfiehlt Kunden mit betroffenen Geräten bei ihrem Provider das Update anzufordern. Einige der verwundbaren Modelle sind auch bei deutschen Providern im Einsatz, zum Teil aber ohne offensichtlichen Cisco-Schriftzug. Im Zweifel bringt ein Blick auf das Typenschild des Gerätes Klarheit. Dieses befindet sich meist auf der Unterseite des Modems oder Routers.

Cisco stuft die Lücke als äußerst kritisch ein. Bis jetzt seien allerdings keine konkreten Fälle von Angriffen bekannt. Die Lücke wurde von einem Sicherheitsforscher vertraulich an das Systems Product Security Incident Response Team (PSIRT) der Firma gemeldet.

Quelle : www.heise.de

[SiLæncer]

Die kritische Sicherheitslücke, die neun Router und Kabelmodems von Cisco verwundbar für Angriffe aus dem Netz macht, ist bei deutschen Providern vor Jahren mit einem Update geschlossen worden. Allerdings bleibt unklar, warum Cisco den Fix erst jetzt öffentlich machte.

Die vor kurzem bekannt gewordene Sicherheitslücke in Consumer-Routern und Kabelmodems von Cisco ist bei den meisten deutschen Providern nicht vorhanden. Sowohl Kabel Deutschland als auch Unitymedia, beziehungsweise Kabel BW, teilten heise Security getrennt voneinander mit, dass die Firmware des bei ihnen im Einsatz befindlichen E-MTAs EPC3212 nicht angreifbar ist. Die bei beiden Providern genutzte Firmware sei bereits 2012 mit einem Update gefixt worden. Dieses Update wurde dann, zumindest bei Kabel Deutschland, automatisch an die Geräte der Kunden verteilt.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Der Router-Hersteller AVM verfolgt die Entwicklung, die Sicherheitsforscher angestoßen haben, zwar aufmerksam, sieht aber derzeit keine unmittelbare Gefahr für Teilnehmer-Router in Deutschland.

Routerhersteller AVM sieht in der kürzlich bekannt gewordenen Sicherheitslücke in der von vielen Providern eingesetzten TR-069-Fernwartungssoftware keine umittelbarer Gefahr für Fritzboxen. "Die Schwachstellen betreffen die Software, die auf den ACS-Servern laufen", betonte ein AVM-Sprecher gegenüber heise Netze. Zumindest in Deutschland seien diese Auto Configuration Server Teil einer Infrastruktur mit hohen Anforderungen an das Schutzniveau, das Thema sei "endgeräteunabhängig".

Der Sicherheitsforscher Shahar Tal hatte ernste Sicherheitslücken in der Server-Implementierung aufgedeckt, mit der Netzbetreiber und Provider die Router von Teilnehmern fernwarten. Tal auf der Def Con 22 unter anderem von einem Fall berichtet, bei dem sich durch solche Sicherheitslücken Millionen von Teilnehmer-Routern eines Providers im Nahen Osten prinzipiell hätten kapern lassen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

AVM hat eine von heise Security entdeckte Sicherheitslücke im Fernzugriff seiner FritzBoxen geschlossen, durch die Angreifer die volle Kontrolle über den Router – und somit auch den Telefonanschluss – übernehmen konnten.

Der Berliner Router-Hersteller AVM musste die Sicherheit der Fernwartungsfunktion seiner FritzBoxen erneut nachbessern: Durch eine von heise Security entdeckte Schwachstelle war es möglich, ohne Login-Daten auf die Web-Oberfläche zuzugreifen. Die Lücke klaffte in den MyFritz-Apps für Android und iOS.

Wer eine der Apps in einem fremden Netz benutzte, hat damit unter Umständen auch Hackern administrativen Zugriff auf die FritzBox verschafft. Abhilfe bringen die gerade veröffentlichten MyFritz-Versionen. Wer die Apps einsetzt, sollte sie dringend auf den aktuellen Stand bringen. Mit den aktuellen Hinweisen zu Lücken in der TR-069-Fernwartungsfunktion für Provider hat der Fehler aber nichts zu tun.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Router-Hersteller AVM sieht Anzeichen dafür, dass Hacker versuchen, eine Sicherheitslücke vom Februar 2014 auszunutzen.

Hacker versuchen offenbar, eine längst geschlossene Sicherheitslücke in Fritzbox-Routern auszunutzen, die Mitte Februar bekannt geworden ist. Hersteller AVM teilt mit, es gebe Anzeichen dafür. Von den Angriffen seien Anwender betroffen, die das Sicherheits-Update von Februar 2014 nicht eingespielt haben, den Fernzugriff (Port 443) aktiviert haben und über eine Telefoniefunktion verfügen.

Die Betrüger suchten gezielt nach Geräten, bei denen das Update und die Neuvergabe der Kennwörter versäumt worden sei, teilt AVM weiter mit. Die betroffenen Geräte könnten von den Telefonbetrügern missbraucht werden. Dabei können hohe Telefonkosten entstehen, beispielsweise durch Telefonverbindungen nach Kuba, Sierra Leone oder Afghanistan.

Quelle : www.heise.de

[SiLæncer]

Laut Mitarbeitern der tschechichen CZ.NIC Labs gibt es weltweit mehr als eine halbe Million Router, die ihre Konfiguration und damit das Zugangspasswort unbemerkt herausgeben. Angreifer können Nutzer der Router auf Phishing-Seiten umleiten.

Zahlen aus den Labs der tschechischen CZ.NIC zeigen, dass das Kapern von Routern unter Ausnutzung der rom0-Schwachstelle überwiegend ungehindert weitergeht. Im Frühjahr hatte Team Cymru unter dem Stichwort Soho Pharming weltweit noch rund 300[.]000 kompromittierte Router gemeldet. CZ.NIC-Mitarbeiter Tomáš Hlaváček stellte jetzt beim RIPE69-Treffen in London Zahlen vor, die darüber liegen und in einzelnen Ländern sogar zunehmen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Sehr viele der von Vodafone vertriebenen EasyBox-Router sind über WLAN innerhalb von Sekunden geknackt. Nur das WPA-Passwort zu ändern bringt ebenso wenig wie die derzeit aktuelle Firmware.

Durch eine Abwandlung eines seit mehreren Jahren bekannten Angriffs kann man viele der von Vodafone vertriebenen Standardrouter des Typs EasyBox innerhalb von Sekunden knacken, wie eine Analyse von heise Security zeigt. Dazu ist nicht mehr als eine Android-App nötig. Nach unseren Schätzungen sind mehrere hunderttausend Netze betroffen. Wer sich schützen will, muss selbst aktiv werden.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Der Firewall-Hersteller weist auf ein kritisches Sicherheitsproblem in Routern hin, das Millionen von Anwendern betrifft. Doch er sagt weder, wer genau betroffen ist, noch wie man sich schützen kann.

Der Firewall-Hersteller Checkpoint warnt derzeit vor einer kritischen Router-Lücke namens "Misfortune Cookie", die aktuell 12 Millionen Geräte betreffen soll. Sie erlaube es einem Angreifer die volle Kontrolle über den Router zu übernehmen. Betroffen sind laut Checkpoint Router verschiedener Hersteller, die den Embedded Webserver RomPager von AllegroSoft einsetzen.

Checkpoint hält sich sehr bedeckt, was die Details zu Misfortune Cookie angeht. Die c't hatte bereits im April vor einem kritischen Problem mit der RomPager-Software gewarnt. Die erlaubt es Angreifern, ein ROM-Image der Firmware herunterzuladen und daraus das Admin-Passwort zu extrahieren. Diese Lücke ist immer noch auf vielen Routern vorhanden – doch Checkpoint scheint noch etwas anderes entdeckt zu haben. Jedenfalls ist in der sehr dürren technischen Beschreibung die Rede von einem Cookie, das die Manipulationen ermöglicht.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Der Sicherheitsexperte Joshua Drake hat eine Lücke in den Routern von Asus entdeckt und dokumentiert, über die jeder im Netzwerk Kontrolle über den Router erlangen kann.

Root-Rechte erlangen

Der Angriff erfolgt über den Dienst infosvr, der auf den Asus-Routern mit Root-Rechten läuft. Über eine Sicherheitslücke in diesem Dienst kann der Angreifer dann Kontrolle über den Router erlangen.

Der Dienst infosvr soll die Konfiguration erleichtern, indem andere Router im gleichen Netzwerk identifiziert werden. Den Sourcecode hat Asus auf seinen Supportseiten dokumentiert.

Vorschläge zur Abhilfe

Betroffen sind laut Drake alle Asus-Router, auf denen der Dienst infosvr läuft. Dabei spiele es keine Rolle, welche Firmware-Version auf dem Router verwendet wird.

Ob und wann es Abhilfe von Asus in Form einer neuen Firmware gibt, ist nicht bekannt. Die Dienst lässt sich jedenfalls nicht über das Konfigurationsmenü deaktivieren.

David Longenecker schlägt vor, den Dienst infosvr nach dem Booten per Script zu stoppen. Drake selbst weist auf die Möglichkeit hin, die Sicherheitslücke selbst auszunutzen und per Kommandozeile den Dienst zu stoppen. Dieser Befehl müsste allerdings nach jedem Reboot neu ausgeführt werden. Eric Sauvageau schlägt dagegen vor, den Port 9999, an dem infosvr lauscht, per Firewall zu blockieren.

Quelle : www.onlinekosten.de/

[SiLæncer]

Das Bot-Netz, das an Weihnachten die Spielenetzwerke von Sony und Microsoft lahmlegte, bestand einer Analyse des Sicherheitsexperten Brian Krebs zufolge zum Großteil aus gehackten Heimroutern.

Hinter den Attacken auf die Playstation- und Xbox-Netze zu Weihnachten steckte offenbar eine Hackergruppe, die sich Lizard Squad nennt. Einer ihrer Mitglieder hatte zunächst behauptet, die Konsolennetzwerke aus Spaß angegriffen zu haben. Mittlerweile hat sich aber der Verdacht erhärtet, dass die Hacker mit der weihnachtlichen Aktion wohl eher Reklame für ihr DDoS-Werkzeug "Lizard Stresser" machen wollten.

Der Sicherheitsexperte Brian Krebs berichtet auf seiner Webseite nun, dass das hinter den Attacken steckende Bot-Netz zum großen Teil aus ungenügend gesicherten Heim-Routern besteht. Der verantwortliche Programmcode suche in seiner Umgebung selbstständig nach weiteren angreifbaren Systemen und werde dabei vor allem bei Routern fündig, deren Telnet-Zugang häufig mit Default-Zugangsdaten (admin/admin, root/12345) erreichbar sei. Dies sei vor allem bei Heim-Routern der Fall, Krebs habe aber auch professionell genutzte Router in Universitäten und Firmen gefunden, auf denen der Schadcode aktiv sei. Technisch sei der unter Linux laufende Code aber nicht auf Router beschränkt; er könne ohne weiteres auch Desktop-Systeme, Server oder etwa Webcams mit Internetzugang befallen.

Im selben Artikel berichtet Krebs noch von einer weiteren Aktion der "Lizard Squad": Sie soll versucht haben, das Tor-Netzwerk zu infiltrieren, indem sie Hunderte manipulierter Tor-Relaisstationen aufsetzte. Dieser Versuch flog aber recht bald auf, weil die Hacker die dazu nötigen Server mithilfe gestohlener Kreditkartendaten bei Googles Cloud-Service gemietet hatten und Google den ungewöhnlichen Aktivitäten recht schnell auf die Schliche kam.

Um sich selbst davor zu schützen, Teil eines Bot-Netzes zu werden, sollten Besitzer von Routern vor allem die im Auslieferungszustand festgelegten Zugangsdaten gegen ein sicheres Kennwort austauschen. heise-online-Leser können darüber hinaus unseren Netzwerkcheck verwenden, um zu prüfen, ob der eigene Router angreifbar ist.

Quelle : www.heise.de

[SiLæncer]

Mindestens sieben verschiedene Modelle der Firma lassen sich aus dem lokalen Netzwerk kapern. Ein Exploit ist bereits im Umlauf, Besitzer der betroffenen Router sollten also schnellstmöglich handeln.

Asus hat Firmware-Updates für mehrere Router-Modelle veröffentlicht, die sich aus dem lokalen Netz über Port 9999 übernehmen lassen. Auf verwundbaren Geräten lassen sich über einen Fehler im Konfigurations-Dienst infosvr beliebige Befehle mit Root-Rechten ausführen (CVE-2014-9583). Ein Exploit für die Lücke macht bereits seit letzter Woche die Runde, die Updates sollten also schnellstmöglich installiert werden.

Betroffen sind laut Asus und des Sicherheitsforschers, der die Lücke entdeckt hatte mindestens sechs verschiedene Router:

DSL-AC68U
RT-AC87U
RT-AC68U
RT-AC66U
RT-N56U
RT-N66U
Nutzer können die Firmware-Updates auf den entsprechenden Support-Seiten der Firma herunterladen. Betroffene Router erkennt man daran, dass in den Notizen zur aktuellsten Firmware-Version der Fix erwähnt wird: "Fixed infosvr security issue."

Quelle : www.heise.de

[SiLæncer]

Eine Reihe von Netgear-Routerm plaudern durch die Schnittstelle für die Fernwartungs-App Genie wichtige Informationen über das eigene Netzwerk aus. Unter anderem können Angreifer aus dem Netz so Passwörter auslesen.

Mehrere Netgear-Router sind durch eine Sicherheitslücke in der Web-Adminstrationsoberfläche der Konfigurationssoftware Genie angreifbar. Durch die Lücke können Angreifer wichtige Informationen über das lokale Netzwerk und den Router auslesen, so zum Beispiel Passwörter und den Schlüssel des WLAN-Netzes. Damit kann ein Angreifer, unter Umständen auch aus der Ferne, die Kontrolle über den Router übernehmen.

Die Sicherheitslücke tritt im SOAP-Interface der Router auf, die mit der Genie-App kommuniziert. Diese wird oft zur Fernwartung der Geräte benutzt und sollte bei unberechtigten Anfragen eigentlich mit einem 401-Fehler antworten. Angreifer können allerdings mit einem Trick diese Sperre umgehen und über das SOAP-Interface ohne Anmeldung beliebige Daten auslesen. Laut Sicherheitsforscher Peter Adkins, der die Lücke entdeckt hat, sind folgende Modelle betroffen:

WNDR3700v4 mit Firmware 1.0.0.4SH und 1.0.1.52
WNR2200 mit Firmware 1.0.1.88
WNR2500 mit Firmware 1.0.0.24

Zusätzlich vermutet Adkins, dass auch die Modelle WNDR3800, WNDRMAC, WPN824N und WNDR4700 betroffen sind. Er hatte die Lücke im Januar an Netgear gemeldet, die Firma hatte das entsprechende Support-Ticket allerdings automatisch geschlossen und sich dann nicht mehr gemeldet.

Von der Lücke sind auch Geräte betroffen, deren Besitzer die Genie-App gar nicht nutzen, da die Schnittstelle im Router der eigentliche Schwachpunkt ist. Updates für die betroffenen Geräte gibt es bis jetzt nicht. Die Lücke lässt sich aber wenigstens gegen Angriffe aus dem Internet abschotten, indem Nutzer die Fernadministration der Geräte abschalten und somit den Zugriff aus dem WAN unterbinden.

Quelle : www.heise.de

[SiLæncer]

Gezielter Spam enthält Links, die beim Klick den eigenen Router kompromittieren und dessen DNS-Einstellungen übernehmen.

In Brasilien sind Internet-Nutzer eines bestimmten Service-Providers gezielt mit Phishing-Spam bombadiert worden, mit dem Ziel, deren Router zu übernehmen. Die Mails sahen aus wie legitime Nachrichten des Providers, klickten die Angeschriebenen allerdings auf einen Link in der Mail, wurden sie Opfer einer Cross-Site-Request-Forgery-Attacke (CSRF). Der Klick sorgte dafür, dass der Nutzer unwissentlich die standardmäßigen Logindaten des eigenen Routers in dessen Interface eingaben. Hatten sie diese nicht geändert, bekam die Seite des Angreifers die Kontrolle über den Router und konnten dessen DNS-Einstellungen ändern.

Auch dieser Angriff zeigt mal wieder, dass man auf jeden Fall Standard-Passwörter in Routern ändern muss. Besser ist natürlich, wenn die Provider diese Passwörter so vergeben, dass jeder ausgelieferte Router ein anderes hat. Router umfassend gegen CSRF-Lücken abzusichern scheint ein Kampf zu sein, den wir nicht gewinnen können.

Quelle : www.heise.de

[SiLæncer]

In einer Sammlung von Routern der Hersteller D-Link und Trendnet klaffen mehrere Lücken, durch die Angreifer unter Umständen das Gerät übernehmen können. Bis jetzt hat nur Trendnet mit Updates reagiert.

Eine ganze Reihe von Sicherheitslücken bedroht mehrere Router-Modelle von D-Link und Trendnet. Im schlimmsten Fall, nämlich wenn der Remote-Zugriff aktiviert ist, können Angreifer die Einstellungen dieser Router aus der Ferne manipulieren, wenn sie Nutzer auf eine vorbereitete Webseite locken können. Die entsprechenden Geräte sind auf jeden Fall aus dem lokalen Netz angreifbar. Trendnet hat mit einem Patch reagiert, D-Link stellt sich bis jetzt tot.

Entdeckt wurden die Lücken von Peter Adkins, der vor kurzem bereits Sicherheitsprobleme mit Netgear-Routern öffentlich gemacht hatte. Obwohl er seine Erkenntnisse nach eigenen Angaben bereits am 11. Januar an D-Link gemeldet hatte, warte er seit dem ersten Kontakt mit deren Sicherheits-Abteilung am 14. Januar auf weitere Antwort. Trendnet hingegen hatte am 10. Februar Updates für die Firmware seiner Router veröffentlicht.

Der ganze Artikel

Quelle : www.heise.de