O2-HomeBox-Router ließen sich kapern

Mit einem Firmware-Update musste O2 eine Sicherheitslücke in den Routern vieler Kunden stopfen. Diese ließen sich aus dem Internet angreifen und übernehmen.

In Pocket speichern vorlesen Druckansicht 46 Kommentare lesen
O2-HomeBox-Router ließen sich kapern
Lesezeit: 2 Min.

Eine Schwachstelle der obersten Kategorie "Remote Code Execution" entdeckten die Sicherheitsforscher der deutschen Firma NSIDE in der O2 HomeBox 6441. Über diesen Fehler ließe sich der Router komplett übernehmen, wenn sein Besitzer eine vom Angreifer passend präparierte Web-Seite besucht. O2 hat den Fehler bestätigt und bereits aktualisierte Firmware-Images ausgeliefert, die das Problem beheben.

Der Fehler beruht auf einem Puffer-Überlauf im Web-Frontend. Wie die Forscher mit systematischem Fuzzing entdeckten, lässt sich dieser Überlauf mit einem überlangen Wert für den Parameter _tn auslösen. Das Web-Interface ist standardmäßig nur aus dem lokalen Netz zu erreichen. Trotzdem haben die Forscher über die Suchmaschine Shodan mehrere tausend Router gefunden, bei denen der verwundbare Dienst auch direkt aus dem Internet erreichbar ist.

Doch ein Angreifer kann den verwundbaren Dienst auch in der Standardkonfiguration des Routers quasi über Bande attackieren. Dazu startet eine vom Anwender hinter dem Router aufgerufene Web-Seite ein Skript, das dann den Web-Server des Routers mit speziellen HTTP-Aufrufen bombardiert. In ihrem Blog-Posting erläutern die Forscher weitere Details des möglichen Angriffs.

Laut NSIDE trat der Fehler in der O2 Homebox Version 6441 mit der Firmware-Version 1.01.30 auf. Diese Geräte werden in aller Regel vom Provider übers Netz gemanaged; so konnte O2 eine aktualisierte Firmware-Version ausrollen. Wer diese Funktion abgeschaltet hat, sollte dringend von Hand ein entsprechendes Update ausführen. (ju)