Präparierte Webseite schaltet Firewall im Router aus

Eine Schwachstelle im beliebten Linksys-Router WRT54GL verdeutlicht einmal mehr, wie Session Riding beziehungsweise Cross Site Request Forgery (CSRF) funktioniert. Mit einem einzigen präparierten Link in einer Webseite kann es ein Angreifer schaffen, die Firewall von außen zu deaktivieren. Andere Konfigurationsänderungen sind ebenfalls möglich.

Während des Angriffs muss allerdings der Besitzer des Routers gerade in der Bedienoberfläche eingeloggt sein und eine manipulierte Webseite ansurfen. Dies kommt aber nicht unbedingt selten vor, viele Anwender suchen oft nach Konfigurationsanleitungen zu bestimmten Punkten des Gerätes im Internet und sind dabei gleichzeitig am Router angemeldet. Enthält die Seite dann einen Link wie:

https://192.168.1.1/apply.cgi?submit_button=Firewall&change_action=&action=Apply&block_wan=1&
block_loopback=0&multicast_pass=0&ident_pass=0&block_cookie=0&block_java=0&
block_proxy=0&block_activex=0&filter=off&_block_wan=1&_block_multicast=0&_ident_pass=1

ist es um die Sicherheit geschehen (vorausgesetzt die Standard-IP-Adresse wurde beibehalten).

Die Ursache des Problems ist die implizite Authentifizierung durch den Cookie. Betroffen ist laut Fehlerbericht auf der Sicherheitsmailing-Liste Bugtraq die Firmware-Version 4.30.9. Der Hersteller wurde zwar am 14. August 2007 informiert, eine Lösung des Problems gibt es jedoch noch nicht. Cisco, zu dem Linksys seit 2003 gehört, soll allerdings an einem Update arbeiten. Anwender sollten bis dahin der Empfehlung folgen und während der Routerkonfiguration keine weiteren Seiten aufrufen. Ein anderes Beispiel für Session Riding lieferte zuletzt Google Mail.

Der WRT54GL ist die Nachfolgeversion des WRT54G, die wieder auf Linux beruht. Im WRT54G hatte der Hersteller zwischenzeitlich auf VxWorks als Betriebssystem umgestellt.

Siehe dazu auch:

• Linksys WRT54 GL - Session riding (CSRF), Fehlerbericht von Tomaz Bratusa

(dab)