Seite 1 von 1

WRT54GL: Präparierte Webseite schaltet Firewall im Router au

BeitragVerfasst: Sa 12 Jan, 2008 15:17
von pc_net
Präparierte Webseite schaltet Firewall im Router aus

Eine Schwachstelle im beliebten Linksys-Router WRT54GL verdeutlicht einmal mehr, wie Session Riding beziehungsweise Cross Site Request Forgery (CSRF) funktioniert. Mit einem einzigen präparierten Link in einer Webseite kann es ein Angreifer schaffen, die Firewall von außen zu deaktivieren. Andere Konfigurationsänderungen sind ebenfalls möglich.

Während des Angriffs muss allerdings der Besitzer des Routers gerade in der Bedienoberfläche eingeloggt sein und eine manipulierte Webseite ansurfen. Dies kommt aber nicht unbedingt selten vor, viele Anwender suchen oft nach Konfigurationsanleitungen zu bestimmten Punkten des Gerätes im Internet und sind dabei gleichzeitig am Router angemeldet. Enthält die Seite dann einen Link wie:

[url=https://192.168.1.1/apply.cgi?submit_button=Firewall&change_action=&action=Apply&block_wan=1&block_loopback=0&multicast_pass=0&ident_pass=0&block_cookie=0&block_java=0&block_proxy=0&block_activex=0&filter=off&_block_wan=1&_block_multicast=0&_ident_pass=1]https://192.168.1.1/apply.cgi?submit_button=Firewall&change_action=&action=Apply&block_wan=1&
block_loopback=0&multicast_pass=0&ident_pass=0&block_cookie=0&block_java=0
&block_proxy=0&block_activex=0&filter=off&_block_wan=1&_block_multicast=0&_ident_pass=1[/url]

ist es um die Sicherheit geschehen (vorausgesetzt die Standard-IP-Adresse wurde beibehalten).

Die Ursache des Problems ist die implizite Authentifizierung durch den Cookie. Betroffen ist laut Fehlerbericht auf der Sicherheitsmailing-Liste Bugtraq die Firmware-Version 4.30.9. Der Hersteller wurde zwar am 14. August 2007 informiert, eine Lösung des Problems gibt es jedoch noch nicht. Cisco, zu dem Linksys seit 2003 gehört, soll allerdings an einem Update arbeiten. Anwender sollten bis dahin der Empfehlung folgen und während der Routerkonfiguration keine weiteren Seiten aufrufen. Ein anderes Beispiel für Session Riding lieferte zuletzt Google Mail.

Der WRT54GL ist die Nachfolgeversion des WRT54G, die wieder auf Linux beruht. Im WRT54G hatte der Hersteller zwischenzeitlich auf VxWorks als Betriebssystem umgestellt.

Siehe dazu auch:
Linksys WRT54 GL - Session riding (CSRF), Fehlerbericht von Tomaz Bratusa
(dab/c't)


Quelle: Heise Newsticker

BeitragVerfasst: Sa 12 Jan, 2008 16:06
von wagsoul
Interessant wäre zu dem Bericht eine kurze Erklärung, was diese Firewall auf dem Router überhaupt tut, wenn sie eingeschalten ist.

Da so ein Router sowieso NAT hat, gibt es ja sowieso immer eine Art (ungewollte) Firewall, die alle von außen kommenden Verbindungen abblockt.

Technisch ist das gar nicht anders möglich, und gleichzeitig der Hauptgrund, warum man sich mit Dingen wie Portforwarding abquälen muss, wenn man eingehende Verbindungen bei seinem Rechner empfangen will.

PS: Ich würde für den Router übrigens http://www.polarcloud.com/tomato oder http://www.dd-wrt.com als Firmware empfehlen.

BeitragVerfasst: Sa 12 Jan, 2008 21:39
von Herculess
@wagsoul:
NATting kann man nicht als Sicherheitslösung betrachten. Du hast zwar recht, dass man auf Rechner dahinter nicht ohne weiteres kommt, aber NAT schützt grundsätzlich nicht davor, dass es jemandem dann doch gelingt.

zusätzlich ist bei diesem bug noch das problem, dass sich der angreifer selbst seinen weg freischalten kann.

greets

BeitragVerfasst: Sa 12 Jan, 2008 21:47
von ANOther
NAT schützt grundsätzlich nicht davor, dass es jemandem dann doch gelingt.

DAVOR schützt allerdings nur knippex...

BeitragVerfasst: Sa 12 Jan, 2008 22:20
von wagsoul
Ich hatte auch mal so einen Linksys-Router mit der Standard-Firmware.

Hat man dort diese sog. Firewall aktiviert, dann hat der Router denke ich einfach eingehende ICMP-Echo-Requests (Pings) verworfen anstatt sie zu beantworten, und eingehende Verbindungen zu geschlossenen Ports wurden auch verworfen, anstatt sie wie vorher (und wie eigentlich Standard) mit einem ICMP-Closed-Paket zu beantworten.

Wovor diese Firewall den normalen Privatuser, der sich so ein Gerät kauf, schützen soll, das weiß ich allerdings bis heute noch nicht.

Vielleicht liest es sich ja gut, wenn dort Firewall steht ...

Was in Zeiten von W32.Blast, Sasser & Co oder wie diese Würmer alle heißen mögen, tatsächlich Gold wert war, das war die NAT-Funktion am Router.

Denn die hat alle diese Pakte am Router abgeblockt, was sonst nur diese Tools wie Zonealarm machten (und auch dort weiß man schlussendlich nicht wirklich genau, das diese Software denn nun tut um zu schützen)

BeitragVerfasst: Sa 12 Jan, 2008 23:59
von max_payne
Wovor diese Firewall den normalen Privatuser, der sich so ein Gerät kauf, schützen soll, das weiß ich allerdings bis heute noch nicht.

nunja.... ein nicht weitergeleiteter port is immer noch besser, als ein port der durch irgendeine firewall "geschlossen" ist. jede firewall lässt sich knacken; ne weiterleitung kannst nicht so leicht einrichten

was sonst nur diese Tools wie Zonealarm machten

...schmerz lass nach....