image

Nederlander waarschuwt voor ernstige lekken in routers

donderdag 18 mei 2006, 12:15 door Redactie, 11 reacties

De Nederlandse student en freelance journalist Armijn Hemel heeft vandaag tijdens de System Administration and Network Engineering (SANE) Conferentie in Delft onthuld welke apparaten allemaal kwetsbaar zijn voor het lek dat hij in in het Universal Plug and Play (UPnP) protocol heeft ontdekt. Het gaat onder andere om routers van Netgear, Linksys, Edimax, Sweex en nog veel meer merken die onder andere op deze en deze pagina's vermeld staan.

De kwetsbaarheid zit hem in bepaalde implementaties van het Internet Gateway Device profile. Voornamelijk oude versies van deze software, zoals gebruikt door bepaalde leveranciers hebben zeer ernstig bugs, zoals Hemel schetst in het volgende voorbeeld:

1. SOAP pakketje (XML) komt binnen, met het verzoek om een port te forwarden.
2. parameter InternalClient wordt uit het XML pakket gehaald en in een char* gestopt.
3. er wordt een shellcommando gemaakt, met sprintf, met als argumenten onder andere InternalClient en iptables.
4. met system() wordt het commando uitgevoerd.

Oftewel, je kan hier shell escapes in stoppen en die uitvoeren met superuser privileges. Nu zit er in sommige implementaties wel een limiet op van 15 karakters (de 4 octets van het IP adres met de punten ertussen). Dat levert nog altijd 13 karakters aan shellcode (en twee backticks) op die je kan geven aan een router. Sommige routers gebruiken nog oudere code, waar er compleet geen limiet op zit. Dan denk je dat het misschien oudere routers zijn, maar nee, dat zijn routers die net twee maanden op de markt zijn, met alle hypermoderne MIMO-G pre-N mogelijkheden, enzovoort. Zeer ernstig dus omdat een aanvaller willekeurige code kan uitvoeren, zo laat Hemel tegenover Security.NL weten.

Hemel deed zijn ontdekkingen door pure source code analyse. Naast de "remote code execution" lekken zijn de routers ook kwetsbaar voor andere aanvallen waarbij er root rechten verkregen kunnen worden. Veel routers die op de Broadcom chipset gebaseerd zijn gebruiken de Broadcom implemetnatie van IGD en bijna alle Linux gebaseerde apparaten zijn kwetsbaar.

Omvangrijk probleem
De lekken kunnen door spyware, hackers en virussen misbruikt worden. Het probleem is dat gecompromitteerde routers een stuk lastiger te vinden zijn dan geinfecteerde PC's. Daarnaast zullen de meeste gebruikers nooit hun router met nieuwe firmware upgraden, waardoor er miljoenen kwetsbare apparaten zijn. Inmiddels hebben verschillende leveranciers nieuwe firmware uitgebracht, maar andere fabrikanten hebben nog niets van zich laten horen.

Als oplossing ziet Hemel twee mogelijkheden. Het herontwerpen van het protocol met security dit keer in het achterhoofd, of het dichten van de lekken in de huidige implementaties.

Verder laat de student in zijn presentatie weten dat ook andere appraten zoals de Xbox-360, Noxon Audio, Philips Streamium en Netgear MP115 kwetsbaar zijn, waardoor aanvallers content kunnen stelen of media kunnen afspelen zonder toestemming van de eigenaar. Voorlopig doet iedereen er verstandig aan om de nieuwste firmware te installeren en Universal Plug and Play gewoon uit te zetten.

Reacties (11)
18-05-2006, 12:25 door Anoniem
Dit kan natuurlijk een stuk netter. Zoals jullie het nu presenteren zijn alle linux-
MIPS gebaseerde routers in alle situaties lek. Da's bezijdens de waarheid, zeg
maar.
18-05-2006, 14:11 door Anoniem
Het is natuurlijk wel vreemd dat Linksys, welke honderden modellen
gemaakt heeft, van linux tot vxworks, er maar 2 echt vulnerable zijn, en
beide zijn nog SRX ook. Dat verbaast mij dan ook. Verbaast mij dan ook
zeer dat de WRT54G NIET vulnerable is, terwijl de WRT54GS dat dan wel
is.
18-05-2006, 14:19 door Rubin
Goed geschreven artikel, security.nl! Het is redelijk
aannemelijk dat de meeste UPNP implementaties op dit moment
kwetsbaar zijn. Op zich is dat geen nieuws onder de zon
(UPNP is nou eenmaal nogal brak) maar deze nieuwe ontdekking
van Armijn is imho wel een probleem voor bijna alle UPNP
implementaties op routertjes.
18-05-2006, 15:42 door [Account Verwijderd]
[Verwijderd]
18-05-2006, 17:47 door Anoniem
upnp staat hier altijd uit, al vanaf dat de apparaatjes uit
de doos komen. Beveiligen doe je zelf, upnp op netwerken is
voor luiaards.
19-05-2006, 14:26 door Anoniem
Door Anoniem
Het is natuurlijk wel vreemd dat Linksys, welke honderden
modellen
gemaakt heeft, van linux tot vxworks, er maar 2 echt
vulnerable zijn, en
beide zijn nog SRX ook. Dat verbaast mij dan ook. Verbaast
mij dan ook
zeer dat de WRT54G NIET vulnerable is, terwijl de WRT54GS
dat dan wel
is.


Oh, de WRT54G is zeker wel kwetsbaar, tenminste, de op Linux
gebaseerde modellen.

armijn
20-05-2006, 13:21 door Anoniem
Door Anoniem
upnp staat hier altijd uit, al vanaf dat de apparaatjes uit
de doos komen. Beveiligen doe je zelf, upnp op netwerken is
voor luiaards.

Helemaal mee eens vertrouwde het vanaf het begin al niet, dat progies
zomaar elke port kunnen open zetten. De kans dat je een keer iets binnen
haalt wat een port open zet, is tegenwoordig 1 op 100 en al helemaal als
je met meerdere mensen, en ook nog eens onwetende gebruikers het
internet op gaat.
25-05-2006, 01:26 door Anoniem
Zie www.hitmanpro.nl. Zij werken momenteel aan een UPnP Manager.

De gemiddelde internet gateway bij mensen thuis hebben zo'n 10 UPnP
forwards waar mensen niets van weten.
12-06-2006, 15:38 door Anoniem
Bij in werking stellen HitmanPro snelkoppeling onklare functie en melding
Trojan Horse geconstateerd.
Vervolgens met virusscan 5 Trojans gevonden, allemaal Generic.VFI.
In de update.exe(2x), hitmanpro2.pak, srhelper.exe en surfright.exe.
Wat kan dit allemaal tot gevolg hebben gehad. gehackt wellicht?
15-06-2006, 22:47 door Anoniem
ik heb deze trojans ook gehad. Plotseling werkte hitman pro niet meer, niet
verder bij nagedacht, hitman pro verwijderd en vandaag een virusscan
erdoor geveegd met 6 meldingen generic.vfi trojan horse. Nu deze in
quaranaine zitten opnieuw hitman pro erop gezet en hij doet het weer. Het
typische was dat ook ik deze maandag erop gekregen heb. Het enige waar
ik van kan denken is de site supersearch, daar verscheen plotseling een
popup en ondanks dat ik no aanklikte bleef die popup staan. Maar
misschien denk ik te ver.
Kan ook nergens iets over deze trojans vinden op het net.
15-06-2006, 23:15 door Anoniem
sorry even een verbetering van het eerste, de popup kwam niet uit
supersearch maar uit megasearch
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.