WRT54GL: Präparierte Webseite schaltet Firewall im Router au

Alle technisch orientierten Fragen und Diskussionen zum Thema Internet-Zugänge via WLAN, Funk und Mobil-Anbieter.
Forumsregeln
Alle technisch orientierten Fragen und Diskussionen zum Thema Internet-Zugänge via WLAN, Funk und Mobil-Anbieter.

Fernsehen übers Handy gehört in diese Kategorie.

Diskussionen über Provider (deren Produkte und Dienstleistungen) werden im Bereich PROVIDER geführt.

WRT54GL: Präparierte Webseite schaltet Firewall im Router au

Beitragvon pc_net » Sa 12 Jan, 2008 15:17

Präparierte Webseite schaltet Firewall im Router aus

Eine Schwachstelle im beliebten Linksys-Router WRT54GL verdeutlicht einmal mehr, wie Session Riding beziehungsweise Cross Site Request Forgery (CSRF) funktioniert. Mit einem einzigen präparierten Link in einer Webseite kann es ein Angreifer schaffen, die Firewall von außen zu deaktivieren. Andere Konfigurationsänderungen sind ebenfalls möglich.

Während des Angriffs muss allerdings der Besitzer des Routers gerade in der Bedienoberfläche eingeloggt sein und eine manipulierte Webseite ansurfen. Dies kommt aber nicht unbedingt selten vor, viele Anwender suchen oft nach Konfigurationsanleitungen zu bestimmten Punkten des Gerätes im Internet und sind dabei gleichzeitig am Router angemeldet. Enthält die Seite dann einen Link wie:

[url=https://192.168.1.1/apply.cgi?submit_button=Firewall&change_action=&action=Apply&block_wan=1&block_loopback=0&multicast_pass=0&ident_pass=0&block_cookie=0&block_java=0&block_proxy=0&block_activex=0&filter=off&_block_wan=1&_block_multicast=0&_ident_pass=1]https://192.168.1.1/apply.cgi?submit_button=Firewall&change_action=&action=Apply&block_wan=1&
block_loopback=0&multicast_pass=0&ident_pass=0&block_cookie=0&block_java=0
&block_proxy=0&block_activex=0&filter=off&_block_wan=1&_block_multicast=0&_ident_pass=1[/url]

ist es um die Sicherheit geschehen (vorausgesetzt die Standard-IP-Adresse wurde beibehalten).

Die Ursache des Problems ist die implizite Authentifizierung durch den Cookie. Betroffen ist laut Fehlerbericht auf der Sicherheitsmailing-Liste Bugtraq die Firmware-Version 4.30.9. Der Hersteller wurde zwar am 14. August 2007 informiert, eine Lösung des Problems gibt es jedoch noch nicht. Cisco, zu dem Linksys seit 2003 gehört, soll allerdings an einem Update arbeiten. Anwender sollten bis dahin der Empfehlung folgen und während der Routerkonfiguration keine weiteren Seiten aufrufen. Ein anderes Beispiel für Session Riding lieferte zuletzt Google Mail.

Der WRT54GL ist die Nachfolgeversion des WRT54G, die wieder auf Linux beruht. Im WRT54G hatte der Hersteller zwischenzeitlich auf VxWorks als Betriebssystem umgestellt.

Siehe dazu auch:
Linksys WRT54 GL - Session riding (CSRF), Fehlerbericht von Tomaz Bratusa
(dab/c't)


Quelle: Heise Newsticker
No hace falta ser un genio para saber quién dijo eso.

Magenta Gigakraft 250/50
pc_net
Profi-User
Profi-User
 
Beiträge: 1574
Registriert: Fr 29 Aug, 2003 21:21

Beitragvon wagsoul » Sa 12 Jan, 2008 16:06

Interessant wäre zu dem Bericht eine kurze Erklärung, was diese Firewall auf dem Router überhaupt tut, wenn sie eingeschalten ist.

Da so ein Router sowieso NAT hat, gibt es ja sowieso immer eine Art (ungewollte) Firewall, die alle von außen kommenden Verbindungen abblockt.

Technisch ist das gar nicht anders möglich, und gleichzeitig der Hauptgrund, warum man sich mit Dingen wie Portforwarding abquälen muss, wenn man eingehende Verbindungen bei seinem Rechner empfangen will.

PS: Ich würde für den Router übrigens http://www.polarcloud.com/tomato oder http://www.dd-wrt.com als Firmware empfehlen.
wagsoul
Profi-User
Profi-User
 
Beiträge: 1638
Registriert: Fr 04 Mai, 2007 20:53

Beitragvon Herculess » Sa 12 Jan, 2008 21:39

@wagsoul:
NATting kann man nicht als Sicherheitslösung betrachten. Du hast zwar recht, dass man auf Rechner dahinter nicht ohne weiteres kommt, aber NAT schützt grundsätzlich nicht davor, dass es jemandem dann doch gelingt.

zusätzlich ist bei diesem bug noch das problem, dass sich der angreifer selbst seinen weg freischalten kann.

greets
Bild
Herculess
Board-User Level 3
Board-User Level 3
 
Beiträge: 1474
Registriert: Sa 31 Jan, 2004 18:59

Beitragvon ANOther » Sa 12 Jan, 2008 21:47

NAT schützt grundsätzlich nicht davor, dass es jemandem dann doch gelingt.

DAVOR schützt allerdings nur knippex...
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Beitragvon wagsoul » Sa 12 Jan, 2008 22:20

Ich hatte auch mal so einen Linksys-Router mit der Standard-Firmware.

Hat man dort diese sog. Firewall aktiviert, dann hat der Router denke ich einfach eingehende ICMP-Echo-Requests (Pings) verworfen anstatt sie zu beantworten, und eingehende Verbindungen zu geschlossenen Ports wurden auch verworfen, anstatt sie wie vorher (und wie eigentlich Standard) mit einem ICMP-Closed-Paket zu beantworten.

Wovor diese Firewall den normalen Privatuser, der sich so ein Gerät kauf, schützen soll, das weiß ich allerdings bis heute noch nicht.

Vielleicht liest es sich ja gut, wenn dort Firewall steht ...

Was in Zeiten von W32.Blast, Sasser & Co oder wie diese Würmer alle heißen mögen, tatsächlich Gold wert war, das war die NAT-Funktion am Router.

Denn die hat alle diese Pakte am Router abgeblockt, was sonst nur diese Tools wie Zonealarm machten (und auch dort weiß man schlussendlich nicht wirklich genau, das diese Software denn nun tut um zu schützen)
wagsoul
Profi-User
Profi-User
 
Beiträge: 1638
Registriert: Fr 04 Mai, 2007 20:53

Beitragvon max_payne » Sa 12 Jan, 2008 23:59

Wovor diese Firewall den normalen Privatuser, der sich so ein Gerät kauf, schützen soll, das weiß ich allerdings bis heute noch nicht.

nunja.... ein nicht weitergeleiteter port is immer noch besser, als ein port der durch irgendeine firewall "geschlossen" ist. jede firewall lässt sich knacken; ne weiterleitung kannst nicht so leicht einrichten

was sonst nur diese Tools wie Zonealarm machten

...schmerz lass nach....
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4982
Registriert: Mo 30 Aug, 2004 12:25


Zurück zu MOBILES INTERNET, WLAN & FUNK

Wer ist online?

Mitglieder in diesem Forum: Yandex [Crawler] und 8 Gäste