Wieder eine Routerlücke: Löchriges Webinterface beim Linksys WRT120N

Die Serie der Router-Lücken reißt nicht ab: Diesmal hat es den WRT120N von Linksys erwischt. Angreifer können sich einloggen, ohne ein Passwort einzugeben. Bei aktivierter Fernadministration ist dies besonders heikel.

In Pocket speichern vorlesen Druckansicht 59 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Die Routerhacker von /dev/ttyS0 machen wieder von sich reden. Diesmal haben die Sicherheitsforscher die Firmware des WRT120N-Routers von Linksys auseinandergenommen und darin eine Stack-Overflow-Lücke gefunden. Die Schwachstelle im Webinterface des Routers erlaubt es Angreifern, das Passwort zurückzusetzen und sich einzuloggen. So können sie die Konfiguration des Gerätes nach Belieben ändern.

Zunächst untersuchten die Hacker die Hardware des Gerätes, nachdem die von Linksys eingesetzte Verschwurbelung des Firmware-Codes ihre Aufmerksamkeit erregt hatte. Es gelang ihnen, ein Werkzeug zu schreiben, das die Firmware dekodiert. Weitere Analysen ergaben, dass die Router das nicht mehr entwickelte Echtzeitbetriebssystem SuperTask nutzen.

Durch Return Oriented Programming gelang es den Router-Spezialisten, das Administratorkennwort des Webinterfaces zu überschreiben, ohne dass die Software dabei abstürzt. Dazu schickten sie einen POST-Request mit den passenden Parametern an das tmUnBlock.cgi-Script – ein Fehler im Quellcode macht diesen Teil des Router-Webinterfaces verwundbar.

Missbraucht ein Angreifer diese Lücke, gelangt er in das Webinterface des WRT120N, ohne ein Passwort eingeben zu müssen. Dies ist besonders heikel, wenn die Fernadministrationsfunktionen des Routers aktiviert sind; aller Wahrscheinlichkeit ist ein Angriff aus dem Internet möglich. Den Hackern zufolge ermöglicht die Schwachstelle auch das Ausführen von Schadcode auf dem Router. Dazu wollen sie später Details bekannt geben. (fab)