Vodafone Easybox soll manipulierte Firmware ohne Passwort akzeptieren

Update vom 20. Juli: Der in dieser Meldung beschriebene Sachverhalt hat sich zum Teil als falsch erwiesen. Insbesondere ist es nicht möglich, durch die Schwachstelle infizierte Firmware auf dem Router zu installieren. Bitte beachten die Updates am Ende der Meldung.

Aufgrund einer Schwachstelle soll es möglich sein, manipulierte Firmware-Images in die EasyBox 804 von Vodafone einzuspielen. Ein Angreifer kann den Router ohne Passwortabfrage oder physischen Zugriff auf Werkseinstellungen zurücksetzen. Anschließend ist die Firmware-Update-Funktion zugänglich, deren Nutzung normalerweise eine Authentifizierung erfordert.

Zurücksetzen und Firmware-Update ungeschützt

Der WLAN-Router lässt sich über sein Web-Interface ohne Authentifizierung auf Werkseinstellungen zurücksetzen. Hierzu muss ein Angreifer lediglich die Passwort-Vergessen-Funktion aktivieren und ein Captcha lösen, wie der Entdecker der Schwachstelle, Tim Schughart von der Security-Firma ProSec Networks, gegenüber heise Security erklärte. Anschließend hat der Angreifer Zugriff auf die Firmware-Update-Funktion, die normalerweise erst nach Eingabe des Admin-Passworts zugänglich ist.

Laut Schughart lässt sich dort ein manipuliertes Firmware-Image einspielen, das zum Beispiel den SSH-Zugriff freischaltet oder das Mitlesen des Datenverkehrs ermöglicht. Um die Schwachstelle auszunutzen, muss sich der Angreifer im lokalen Netz der Easybox befinden. In der Vergangenheit war dies zumindest bei bestimmten Modellen der EasyBox-Reihe jedoch keine größere Hürde, da man durch öffentliche Informationen auf den standardmäßig eingestellten WPA-Schlüssel schließen konnte.

Vier gescheiterte Kontaktversuche

Der Entdecker der Lücke hatte nach eigenen Angaben versucht, Vodafone im Vorfeld über die Schwachstelle zu informieren. Seit dem 1. April hat er vier erfolglose Kontaktversuche über die Hotline gestartet. Schughart erklärte, dass ihm das Unternehmen zugesichert hatte, sich im Nachgang bei ihm zu melden, um Details einzuholen. Dies sei jedoch nie passiert. heise Security hat Vodafone um eine Stellungnahme gebeten.

Update vom 20. Juli, 9:20: ProSec teilte heise Security mit, dass inzwischen ein Telefonat mit Vodafone stattgefunden hat. Der Provider versicherte der Sicherheitsfirma in diesem Rahmen, dass vor der Installation einer Firmware eine Signaturprüfung stattfindet. Somit ließe sich nicht ohne weiteres eine manipulierte Firmware einspielen. ProSec räumt ein, dass für die finale Prüfung, ob die Installation eines modifizierten Images tatsächlich gelingt, die Zeit fehlte. Im heise Security zugesandten Advisory wurde dieser Angriff als möglich beschrieben: "After this the authentication for firmware upgrades has been bypassed and you are able to upload any infected firmware you want."

Update vom 20. Juli, 16:30: Vodafone erklärte in einer Stellungnahme, dass "die EasyBox 804 wirksam gegen infizierte Firmware geschützt [ist], da sie nur Updates signierter Original-Firmware erlaubt. Die Signaturprüfung stellt die Echtheit einer Firmware fest. Handelt es sich nicht eindeutig um die offizielle Firmware wird sie nicht installiert." Ferner stelle das Zurücksetzen auf Werkseinstellungen kein Sicherheitsrisiko dar, da die Funktion bestimmungsgemäß arbeite. Das Unternehmen fügt hinzu: "Der WPA-Schlüssel für die EasyBox 804 ist komplex, wird für jedes Gerät individuell zufällig generiert und lässt sich daher nicht berechnen." (rei)