Ungewollte Fernkonfiguration für Heim-Router [Update]

Dass Universal Plug and Play (UPnP) auf Routern zu Sicherheitsproblemen führen kann, ist seit Längerem bekannt: Ohne Authentifizierung kann jeder Client aus dem LAN heraus beispielsweise Port-Forwarding aktivieren und so die Firewall durchbohren. Unter Umständen kann aber auch ein Angreifer von Außen den Router umkonfigurieren, wie die Sicherheitsspezialisten Petko Petkov und Adrian Pastor auf der Seite GNUCitizen berichten. Dazu bedarf es allerdings einer Cross-Site-Scripting-Schwachstelle im Authentifizierungsdialog des Routers, was aber nach Einschätzung der beiden nicht allzu selten vorkommt. Darüber ist es dem Bericht zufolge möglich, JavaScript im Browser im Kontext des Routers auszuführen und via XMLHttpRequests mit der UPnP-API respektive dem SOAP-Interface des Routers zu kommunizieren.

Mit dem JavaScript lassen sich nicht nur Ports freischalten, je nach Router-Modell ist es möglich, weitere Konfigurationen zu ändern. Üblicherweise liefert ein Router mit UPnP-Unterstützung auf Anfrage sogar eine Antwort zurück, welche Dienste sich bei ihm via UPnP steuern lassen. Schlimmstenfalls lässt sich sogar die IP-Adresse des DNS-Server (SetDNSServer) manipulieren, um so Anfragen auf einen manipulierten Nameserver umzuleiten und gefälschte Adressen zurückzuliefern. Ein Opfer könnte so auf Phishing-Seiten landen, ohne es zu merken.

Bei den betroffenen Modellen handelt es sich dem Bericht nach um die im UK verbreiteten Router Speedtouch von Thomson und den BT Home Hub. Für einen erfolgreichen Angriff muss das Opfer aber, wie immer bei Cross-Site-Scripting, auf irgendeinen Link auf einer Webseite eines Angreifers klicken und auf dem Gerät muss UPnP aktiviert sein. Standardmäßig ist das bei zahlreichen Routern der Fall.

Tools wie NoScript schützen üblicherweise vor Angriffen mit schädlichem JavaScript. Petkov zeigt in seinem Bericht aber, wie sich Router auch über ActionScript in Flash-Applets umkonfigurieren lassen. [Update]Zwar kann NoScript auch Flash-Applets blockieren, andere JavaScript-Filter lassen sich aber einfach umgehen. Laut Petkov ist bei einem UPnP-Angriff via Flash nicht einmal eine XSS-Lücke im Router notwendig. Vielmehr sei Flash in der Lage, den Router über zusammengesetzte Header anzusprechen. Wie ein Flash-Applet dabei ein Ziel allerdings außerhalb der Herkunftsdomain (Same Origin Policy) ansprechen kann, geht aus dem Bericht nicht klar hervor. Die von Petkov aufgeführte Demo funktioniert in der aktuellen Version des Flash Players nicht mehr, was den Schluss nahe legt, dass das Problem auf eine Schwachstelle in älteren Versionen zurückzuführen ist. [/Update].

ActionScript-Filter gibt es bislang nicht, da dazu in Echtzeit das Flash-Applet dekompiliert werden müsste. Anwender sollten auf ihren Routern sicherheitshalber die UPnP-Funktion deaktivieren.

Weitere Details zum UPnP-Protokoll sind im Artikel "Freihandelszone" in c't 26/07, Seite 202 zu finden.

Siehe dazu auch:

• BT Home Flub: Pwnin the BT Home Hub (5) - exploiting IGDs remotely via UPnP, Bericht von Adrian Pastor
• Hacking The Interwebs, Bericht von Petko Petkov

(dab)