DSL-Router per URL ferngesteuert

Wie Michal Sajdak auf der CONFidence Mitte Mai in Krakau vortrug, gelingt es mit relativ einfachen Mitteln, beliebige Shell-Kommandos auf dem WLAN-DSL-Router WAG54G2 von Linksys auszuführen. Weitere Details dazu hat der Autor jetzt veröffentlicht.

Sajdak fand heraus, dass man auf einfache Weise ein POST-Feld um ein Shell-Kommando ergänzen kann, das der Router dann ausführt. Um das zu testen, benötigt man lediglich einen Proxy, der die POST-Variable vorm Absenden modifizieren kann. Nach eigenen Angaben hat Sajdak den Hersteller Cisco bereits im März über den Fehler informiert und von dort eine Bestätigung, jedoch noch keine Mitteilung über dessen Behebung erhalten.

Es ist derzeit nicht auszuschließen, dass auch andere Linksys-Geräte betroffen sind. Hersteller versuchen, nicht für jedes Modell das Rad neu zu erfinden und setzen auf möglichst wiederverwendbare Firmware-Teile. Beim WRT54GL fanden sich bereits vor einiger Zeit Schwachstellen, die ebenfalls sogenannte Cross-Site-Request-Forgery-Angriffe (CSRF) ermöglichten.

Ein kleiner Trost für Betroffene: Zumindest wenn man das Standardpasswort geändert hat, muss das Opfer angemeldet sein, damit das Ganze funktioniert. Die einzige Hürde ist, dass solche Angriffe normalerweise per HTTP-GET und zum Beispiel einem untergeschobenen IMG-SRC-Tag abgesetzt werden. POST wie im vorliegenden Fall erfordert normalerweise einen Klick, der sich aber mit Javascript ebenfalls automatisieren lässt.

Ein ähnlicher Bug trat vor ein paar Jahren beim beliebten WRT54G auf. Er erleichterte es, alternative Firmware zum Laufen zu bringen, obwohl trotz der Verwendung von Linux weder der Quellcode noch ein Hinweis darauf im Lieferumfang enthalten waren – unter Verletzung der GPL. Der recht neue WAG54G2 wird von OpenWRT noch nicht voll unterstützt. Besserung ist aber in Sicht, da sich Cisco und die Free Software Foundation vor Kurzem geeinigt haben. (Dirk Wetter) / (un)