"Misfortune Cookie": Checkpoint verunsichert durch Router-Alarm-Meldung

Der Firewall-Hersteller Checkpoint warnt derzeit vor einer kritischen Router-Lücke namens "Misfortune Cookie", die aktuell 12 Millionen Geräte betreffen soll. Sie erlaube es einem Angreifer die volle Kontrolle über den Router zu übernehmen. Betroffen sind laut Checkpoint Router verschiedener Hersteller, die den Embedded Webserver RomPager von AllegroSoft einsetzen.

Checkpoint hält sich sehr bedeckt, was die Details zu Misfortune Cookie angeht. Die c't hatte bereits im April vor einem kritischen Problem mit der RomPager-Software gewarnt. Die erlaubt es Angreifern, ein ROM-Image der Firmware herunterzuladen und daraus das Admin-Passwort zu extrahieren. Diese Lücke ist immer noch auf vielen Routern vorhanden – doch Checkpoint scheint noch etwas anderes entdeckt zu haben. Jedenfalls ist in der sehr dürren technischen Beschreibung die Rede von einem Cookie, das die Manipulationen ermöglicht.

Die RomPager-Software setzen unter anderem Router von D-Link, LevelOne, TP-Link und Zyxel ein. Der Hersteller Allegrosoft hat diese Lücke demnach zwar bereits 2005 mit einem Update geschlossen; doch das hat laut Checkpoint rund 12 Millionen aktive Geräte noch nicht erreicht. Leider gibt Checkpoint weder eine Liste der betroffenen Modelle und Hersteller noch ausreichende Informationen, wie man herausfinden könnte, ob man selber betroffen ist.

Der einzig konkrete Ratschlag für Endbenutzer auf der extra dafür eingerichteten Seite zu Misfortune Cookie lautet frei übersetzt: "Installiere unsere Personal Firewall ZoneAlarm auf deinem PC – die gibt es übrigens gerade billiger". Wie eine Personal Firewall auf dem PC den Router vor Angriffen schützen soll, erklärt Checkpoint nicht. Kein Wunder, denn das ist eigentlich nicht möglich. Zumindest dann nicht, wenn sich die Lücke direkt aus dem Internet ausnutzen lässt. Und das legt zumindest Checkpoints Behauptung nahe, man habe im Internet 12 Millionen anfällige Geräte entdeckt.

Fortgeschritteneren Anwendern empfiehlt Checkpoint ein Firmware-Update – sagt aber nicht einmal, auf welche Version oder woher man das bekommen könnte. Kurz: Die von Checkpoint gelieferten Informationen sind eigentlich komplett unbrauchbar und sorgen gleichzeitig für reichlich Verunsicherung.

Update 19.12.2014 12:00: Checkpoint stellt eine separate PDF-Datei mit den Modellbezeichnungen der als verwundbar vermuteten Modelle bereit. Darauf finden sich über 200 verschiedene Geräte, die – abhängig von der jeweils installierten Firmware – unter Umständen angreifbar sind. Konkret betroffen sind alle RomPager-Versionen vor 4.34, insbesondere also die verbreitete Version 4.07. Die ist übrigens auch von dem von c't bereits im April dokumentierten rom0-Problem betroffen, das auch ganz ohne Cookie das Admin-Passwort frei Haus liefert. Die eigene Versions-Nummer kann man mit einem Abruf der Header-Informationen etwa via curl -I <IP-Adresse> ermitteln. Da liefert ein anfälliger Router dann etwas wie:

HTTP/1.0 401 Unauthorized 
WWW-Authenticate: Basic realm="TD-W8961NB" 
Content-Type: text/html 
Transfer-Encoding: chunked 
Server: RomPager/4.07 UPnP/1.0 


(ju)