IT-Sicherheitslücken können uns alle betreffen. In meinem letzten Blog-Eintrag hatte ich bereits beschrieben, wie solche Schwachstellen durch den Hersteller selbst oder Dienstleistungsunternehmen gefunden werden. Prinzipiell kann jedoch jeder Nutzer und jede Nutzerin eine Sicherheitslücke in einem Produkt finden. So ist es mir beispielsweise beim Router TP-Link WR-840N v6.20 passiert.

Wie groß ist das Schadenspotenzial?

Diesen Router hatte ich mir vor einiger Zeit für ein privates Projekt gekauft. Bevor ich diesen jedoch in Betrieb nahm, schaute ich mir ihn etwas genauer an. Nach kurzer Zeit hatte ich bereits eine sogenannte Command-Injection-Schwachstelle auf dem Router identifiziert, die es einem Angreifer erlaubt, beliebige Befehle auf dem Router auszuführen. Nach einer kurzen Recherche stellte sich dann heraus, dass dieses Problem wohl in ähnlicher Form bekannt war und unter der CVE-2019-15060 geführt wird.

Zur Erinnerung:

CVE steht für Common Vulnerabilities and Exposures und ist ein Industriestandard zur Benennung öffentlich bekannter Sicherheitslücken.
Anscheinend war diese jedoch nicht korrekt behoben worden. Nun war mein Interesse geweckt – ich suchte nach weiteren Schwachstellen und fragte mich, inwieweit Angreifende aus dem Internet dies ausnutzen können und wie groß das Schadenspotenzial wirklich ist. Hier fiel mir direkt das Mira-Botnetz ein, dass Ende 2016 durch die Medien geisterte und zu großen Teilen aus gekaperten IoT-Geräten (IoT = Internet of Things), beispielsweise WLAN-Routern, bestand. Die berechtigte Frage, die sich mir jetzt stellte: Kann der Router über die gefundene Sicherheitslücke Teil eines Botnetzes werden?

Diverse Sicherheitslücken

Wenn ich die Command-Injection-Schwachstelle allein betrachte, so kann diese nicht „mal eben so“ durch Angreifer aus dem Internet ausgenutzt werden. Beispielsweise wird das gesetzte Benutzerpasswort benötigt und es muss ein Zugriff auf die Konfigurationsseite des Routers bestehen. Für einen WLAN-Router, der im lokalen Netzwerk steht, sind diese Voraussetzungen nicht zwangsweise einfach zu erfüllen. Auf den ersten Blick scheint also die Frage mit dem Schadenspotenzial schnell beantwortet zu sein. In meiner Brust schlägt jedoch das Herz eines Penetrationstesters – und so konnte ich dem Drang nicht widerstehen, der Sache tiefer auf den Grund zu gehen.
Am Ende hatte ich mehrere Schwachstellen identifiziert, die es mir in Kombination erlauben würden, den Router komplett aus dem Internet zu übernehmen. Die einzige Voraussetzung ist, dass der Besitzer des WLAN-Routers die Webseite eines Angreifers besucht, während er sich im gleichen Netz wie der WLAN-Router befindet. Dies ist keine unrealistische Annahme für ein solches Gerät.

Insgesamt hatte ich nach weiteren Analysen die folgenden Schwachstellen identifiziert:

  • Command-Injection-Schwachstelle
  • Unberechtigter Zugriff auf das Backup der Konfiguration
  • DNS-Rebinding Schwachstelle
  • Stored-Cross-Site-Scripting
  • Schwaches Standardpasswort für das WLAN

Diese Schwachstellen habe ich Anfang des Jahres an den Hersteller kommuniziert und auch schnell eine Reaktion erhalten. Dann kam jedoch Corona

90-Tage-Frist deutlich verlängert

Üblicherweise räumen wir dem Hersteller 90 Tage ein, um eine gefundene Sicherheitslücke zu schließen und einen Patch bereitzustellen. In Ausnahmefällen gewähren wir natürlich mehr Zeit. Aufgrund der Corona-Krise, die uns alle in unserem Alltag getroffen hat, haben wir von dieser 90-Tage Frist abgesehen und sie deutlich verlängert – bis heute. Heute weisen wir unter anderem mit diesem Blog-Eintrag darauf hin, dass es in dem TP-WR840n Router diverse kritische Schwachstellen gibt, die es einem entfernten Angreifer erlauben, die vollständige Kontrolle über den WLAN-Router zu erhalten.

Frist deutlich verlängert

Besitzerinnen und Besitzern empfehlen wir, die Firmware zeitnah zu aktualisieren um sicherzustellen, dass niemand den WLAN-Router kapert und für kriminelle Zwecke benutzt. An der Stelle sei auf die TP-Link-Webseite verwiesen. Weiter empfehlen wir, das voreingestellte WLAN-Passwort für den Router zu ändern, da dieses innerhalb von wenigen Minuten bis Stunden durch einen Angreifer rekonstruiert werden kann. Ein schwaches Passwort, das auf dem Gerät aufgedruckt ist und voreingestellt ist, kann leider nicht durch ein Firmware-Update behoben werden. Die Änderung liegt damit in der Verantwortung der Benutzer*innen. Wichtig dabei zu beachten ist, dass das schwache voreingestellte Passwort auch weitere Router von TP-Link betrifft, so auch den AC1750 von TP-Link. An der Stelle sei darauf hingewiesen, dass die DNS Rebinding-Schwachstelle mit dem Patch nicht behoben wird.

Patch mittlerweile vorhanden

Zum Ende des Beitrages möchte ich kritisch hinterfragen, ob es richtig war, mehr als 90 Tage mit der Veröffentlichung zu warten, immerhin existieren die Sicherheitslücken ungeachtet von Corona. Auf der anderen Seite besteht mit dieser Veröffentlichung ein höheres Risiko, dass andere die gefundenen Schwachstellen kombinieren und für kriminelle Zwecke ausnutzen. Aus meiner Sicht ist die Frage nach dem passenden Zeitpunkt eine Gratwanderung. Es wird Stimmen geben, die sagen, dass es unverantwortlich ist, so lange zu warten, während andere genau das Gegenteil behaupten. Es gibt somit nicht DIE richtige Antwort auf die Frage, wann eine Sicherheitslücke veröffentlich werden sollte. Zum Glück gibt es mittlerweile einen Patch für die Schwachstellen.
Auf alle Fälle möchte ich mich auch beim BSI (Bundesamt für Sicherheit in der Informationstechnik) bedanken, die im Hintergrund mit unterstützt haben.

Autor des Beitrags
Dr. Benedikt Westermann

Dr. Benedikt Westermann

Practice Leader Embedded & Cybersecurity Testing

Das Thema Cybersecurity mit den unterschiedlichen Facetten fasziniert Dr. Benedikt Westermann seit seinem Studium der Informatik. Bei TÜV Rheinland schlüpft er und sein Team regelmäßig in die Rolle eines Hackers, um im Kundenauftrag Sicherheitslücken in Software, Produkten und Systemen ausfindig zu machen, bevor ein echter Angreifer diese ausnutzen kann, um beispielsweise Kunden- und Unternehmensdaten zu erbeuten. Neben dem Thema Cybersecurity zählen Kochen und Radfahren noch zu seinen Hobbies.

Meist gelesene Beiträge
Ladeinfrastruktur

Elektromobilität – Ladeinfrastruktur auf dem Vormarsch

Das neue Jahrzehnt steht ganz im Zeichen des Klimaschutzes – und zu den großen Herausforderungen zählt eine klimaschonende (Elektro-)Mobilität. Eine wichtige Etappe ist das neue Emissionsziel der EU.
Stellenanzeigen

Sexy Titel, keine Bewerber? Stellenanzeigen auf dem Prüfstand

War for Talents, Fachkräftemangel, demografischer Wandel – alles bekannte und beliebte Themen im Buzzword-Bingo unter Personalfachleuten. Der Arbeitsmarkt wird für Unternehmen schwieriger.
Digitale Trends

Digitale Trends 2020: Denkanstöße für mehr Sicherheit

Cybersecurity Trends 2020: Was bedroht unsere digitale Gesellschaft – und wie können wir uns davor schützen? TÜV Rheinland benennt sieben Trends zu aktuellen Cyberbedrohungen.
Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

Niemand mag Pop Ups. Aber Sie werden unseren Newsletter mögen

Erhalten Sie regelmäßig Blogartikel zu den Themen Digitalisierung, Modernes Leben, Energie und Technik.