Cable-Haunt-Lücke soll Millionen Kabel-Modems weltweit gefährden

Sicherheitsforscher warnen vor einer Sicherheitslücke, die Schadcode auf Millionen Kabel-Modems durchlassen könnte.

In Pocket speichern vorlesen Druckansicht 269 Kommentare lesen
Cable-Haunt-Lücke soll Millionen Kabel-Modems weltweit gefährden

(Bild: alexskopje/Shutterstock.com)

Lesezeit: 2 Min.

Offensichtlich sind weltweit Millionen Kabel-Modems über eine Sicherheitslücke angreifbar. Die Entdecker haben die Lücke "Cable Haunt" getauft. Der Beschreibung der dänischen Sicherheitsforscher zufolge könnten Angreifer in vielen Fällen Attacken aus der Ferne und ohne Authentifizierung starten. Ist das erfolgreich, könnten sie Geräte nach der Ausführung von Schadcode übernehmen.

Die Sicherheitsforscher vermuten, dass allein in Europa rund 200 Millionen Geräte bedroht sind. Die Zahl scheint etwas hochgegriffen zu sein: Laut dem Onlineportal Statista gab es in Europa 2018 etwas mehr als 220 Millionen Privathaushalte, davon geht aber der Großteil bestimmt nicht über Kabel ins Internet. Bislang haben sie eigenen Angaben zufolge keine Beweise für eine Ausnutzung der Lücke entdeckt.

Betroffen sind Kabel-Modems mit einem Broadcom-Chip. Konkret ist der Spektrumanalysator das Einfallstor. Dieser lauscht auf einem WebSocket. Aufgrund eines unzureichenden Schutzes kann man über einen Webbrowser via JavaScript darauf zugreifen. Das gelingt in vielen Fällen ohne Anmeldung oder mit Standard-Log-in-Daten, führen die Sicherheitsforscher auf einer Website zur Schwachstelle aus.

Gelingt der Zugriff, könnten Angreifer die Sicherheitslücke (CVE-2019-19494) ausnutzen, um einen Speicherfehler (buffer overflow) auszulösen. Klappt das, müssten Angreifer noch präparierte Anfragen abschicken, um eigene Befehle auszuführen.

Anschließend könnten sie den Sicherheitsforschern zufolge mit dem Gerät tun und lassen, was sie wollen. So könnten sie sich beispielsweise als Man-in-the-Middle in Verbindungen einklinken und diese belauschen. Außerdem ist das Flashen einer manipulierten Firmware vorstellbar oder Geräte landen in einem Botnetz.

Mit einem Test-Skript auf Github kann man prüfen, welche Kabel-Modems für die Attacke anfällig sind. Von den Forschern bestätigt sind das zum Beispiel die Modelle Netgear C6250EMR und Technicolor TC7230. Die Community hat noch weitere Modems als anfällig getestet. Darunter sind etwa Modelle von Arris, Cisco und Humax. Da sich die Lücke laut einer AVM-Sprecherin nicht im Fritz!OS befindet, sind Fritzboxen nicht betroffen. Bislang soll nur ein Bruchteil der bedrohten Geräte Patches erhalten haben. (des)