Fatales Sicherheitsleck bei Kabel Deutschland/Vodafone bedrohte Millionen Kabel-Kunden

Durch kritische Schwachstellen in der Infrastruktur von Kabel Deutschland konnte man fremde VoIP-Anschlüsse übernehmen und Modems kapern – das Worst-Case-Szenario für den inzwischen zu Vodafone gehörenden Provider. Entdeckt hat die Lücken der Linux-Entwickler Alexander Graf. Er bat c't, den Kabel-Provider über das Problem aufzuklären.

Graf fand die Lücken eher zufällig: Er verschaffte sich Zugriff auf den Speicher des von Kabel Deutschland gestellten Zwangsrouters, um die VoIP-Zugangsdaten daraus zu extrahieren. Diese hält der Provider nämlich unter Verschluss, weshalb man keine eigene VoIP-Hardware an dem Anschluss betreiben kann.

Als sich Graf in dem Embedded-System des Routers umsah, stieß er auf eine Netzwerkverbindung, die normalerweise unsichtbar ist. Es stellte sich heraus, dass es sich dabei um das interne Wartungsnetz von Kabel Deutschland handelt. Fatalerweise stand dieser Kanal nicht nur den Service-Technikern des Providers offen, sondern auch allen Kunden: Graf konnte über die versteckte Verbindung andere Modems im Kabelnetz über Telnet und später SSH erreichen.

Zugriff durch Einheitspasswörter

Dem Zugriff als Wartungstechniker stand noch eine Passwortabfrage im Weg – jedoch nicht lange, denn die nötigen Kennwörter lagen zum Teil im Klartext, zum Teil als leicht zu knackender Hash im Speicher seines Routers. Fatalerweise waren die Zwangsrouter sämtlicher Kunden mit den gleichen Passwörtern geschützt. Graf konnte durch den Wartungskanal bei (vorsichtshalber eingeweihten) Kabel-Deutschland-Kunden beliebige Linux-Binaries nachladen und mit Root-Rechten ausführen. So wäre es ihm möglich gewesen, den Datenverkehr der Kunden mitzuschneiden oder zu manipulieren. Ferner hätte er aus dem Heimnetz der Kunden heraus deren Systeme angreifen können.

Doch damit nicht genug: Graf analysierte auch den Prozess, über den Kabel Deutschland die VoIP-Zugangsdaten an die Zwangsrouter verteilt. Auch dort entdeckte er eine Lücke: Es gelang ihm, die Zugangsdaten fremder Anschlüsse abzurufen. Damit hätte er Telefonanschlüsse kapern und auf fremde Rechnungen telefonieren können.

c't informiert Kabel Deutschland

Anschließend kontaktierte Graf die c't-Redaktion, mit der Bitte, Kabel Deutschland über die gefährlichen Lücken aufzuklären. Er demonstrierte uns seine Entdeckungen am Anschluss eines eingeweihten c't-Redakteurs. Nachdem wir den Provider Anfang November über die Gefahren informierten, reagierte er relativ schnell: Nach rund einem Monat meldete das Unternehmen, dass die Kunden im Wartungsnetz nun voneinander isoliert werden und auch die Provisionierung abgesichert wurde. Betroffen waren 2,8 Millionen Anschlüsse.

Unsere Frage, wie lange die Lücken in der Infrastruktur klafften, blieb unbeantwortet. Möglicherweise existieren die Probleme beim Provider schon, seitdem er Internet über Kabel anbietet – also seit über zehn Jahren. Schindluder wurde durch die Lücken angeblich nicht getrieben.

Alexander Graf wird seine Erkenntnisse im Rahmen seines Vortrags Beyond your cable modem auf dem 32. Chaos Communication Congress 32C3 am 27. Dezember um 18:30 vorstellen.

Weitere Informationen finden Sie in c't 1/16 auf Seite 24 (ab Montag, den 28. Dezember am Kiosk, bereits ab dem heutigen Mittwoch im Abo und digital verfügbar):

• Kabelbruch: Schwerwiegende Sicherheitslücken bei Kabel Deutschland

(rei)