Huawei-Router: Schwachstellen aus Fernost

"Hacken von [zensiert] Routern" lautete der Titel des Defcon-Vortrags der Sicherheitsexperten Felix Lindner (auch bekannt als FX) und Gregor Kopf von den Berliner Recurity Labs. Das "zensiert" stellte sich schnell als die AR18- und AR28-Router des chinesischen Herstellers Huawei heraus. Die beiden Router-Hacker haben sich die Firmware, die Standardeinstellungen und die allgemeine Sicherheit der Systeme angesehen und kamen zu dem Schluss: So gut wie alles, was man falsch machen kann, hat Huawei auch falsch gemacht.

Das beginnt bei Diensten wie SSH, FTP und HTTP, die standardmäßig von außen zu erreichen sind; via FTP kann man sogar auf den Flash-Speicher des Routers zugreifen. Es geht weiter über das schlechte Sitzungsmanagement, das es erlaubt eine Session mit einem kleinen Skript zu übernehmen und hört bei jeweils einem konkreten Puffer-Überlauf auf dem Stack und dem Heap noch lange nicht auf. Über 10.000 Aufrufe der latent unsicheren und deshalb geächteten C-Funktion sprintf() lokalisierten die Sicherheitsexperten in der analysierten Firmware. Es ist zu vermuten, dass da noch viele unentdeckte Sicherheitslücken schlummern.

Auch am Organisatorischen ließen die beiden kein gutes Haar: keine Kontakadresse für Security-Hinweise, keine Security-Advisories und Firmware-Updates, die nicht erklären, welche Sicherheitslücken sie beseitigen ergänzen das schlechte Gesamtbild nahtlos. Bei den untersuchten Routern der AR-Serie handelt es sich um Modelle für den Einsatz in kleinen Büros bis hin zu mittleren Firmen; Lindner und Kopf betonten, dass sie keine Gelegenheit hatten, die "großen Schachteln" des chinesischen Herstellers zu untersuchen, die für den Einsatz bei Telcos gedacht sind.

Update 1.8.2012, 14:40: Die untersuchten Router-Modell korrigiert gemäß den Angaben aus den Folien des Vortrags. (ju)