Löchrige UPnP-Umsetzung in alten Broadcom-SDKs macht Router angreifbar
Einige Routermodelle mit EoL-Status etwa von Linksys & Cisco sind dank Lücken in alten Broadcom-SDK-Versionen via UPnP angreifbar. Updates gibt es nicht.
(Bild: Timofeev Vladimir/Shutterstock.com)
Forscher der Firma IoT Inspector sind auf zwei Bugs in älteren Versionen von Software Development Kits (SDKs) der Firma Broadcom gestoßen. Sie betreffen die Implementierung von Universal Plug and Play (UPnP) und bilden offenbar noch heute die Basis für Angriffsmöglichkeiten auf einige Router verschiedener Hersteller. Da zumindest bekanntermaßen betroffene Geräte der Hersteller Cisco und Linksys durchweg den End-of-Life-Status (EoL) erreicht haben, erhalten sie aber voraussichtlich keine Sicherheitsupdates mehr.
"Durchgereichte" Bugs mit DoS- und RCE-Potenzial
Broadcom habe die zwischen 2008 und bis mindestens 2011 bestehenden SDK-Bugs, die unter bestimmten Voraussetzungen für Denial-of-Service-Angriffe oder Remote Code Execution missbraucht werden könnten, seinerzeit nicht transparent kommuniziert, sondern, wie bei GitHub geleakter Quellcode nahelege, aus neueren SDK-Versionen einfach beseitigt. Ein Security Advisory nebst CVE-IDs von Broadcom existiere nicht, kritisieren die Forscher von IoT Inspector in ihrem ausführlichen Blogeintrag zu den Broadcom-Bugs. Zudem hätten Unternehmen, die die verwundbaren SDKs anschließend weiterverwendeten und die Bugs auf eigene Faust entdeckten, zwar Fixes für ihre eigene Software entwickelt, diese jedoch nicht an Broadcom zurückkommuniziert.
So wurde der "Home Hub" der BT Group (damals British Telecom) laut den Recherchen der Forscher bereits im Dezember 2012 gegen mindestens eines der beiden Einfallstore abgesichert. Aufgrund der mangelnden Kommunikation machten die verbuggten SDK-Versionen die Supply-Chain jedoch weiterhin unsicher. In der Konsequenz erhielt die freie Router-Firmware DD-WRT erst im März 2021 Fixes gegen beide Sicherheitsprobleme. In DD-WRTs Advisory zu CVE-2021-27137 wird das Broadcom-SDK als Wurzel des Problems wiederum nicht erwähnt.
(Bild: iot-inspector.com)
Verwundbare Router – und keine Updates
Als noch immer verwundbar (oder zumindest verwundbaren SDK-Code enthaltend) haben die Forscher die Firmware folgender Geräte mit EoL-Status identifiziert:
- Cisco Small Business-Router RV110, RV215, RV130 (beide Sicherheitslücken)
- Linksys E900, E1200, E1500, E2500, E3200 (eine der Lücken / heap overflow)
- Huawei B593 (ausdrücklich nicht angreifbar, da die verwundbare ausführbare Datei in der Praxis nicht verwendet wird)
Den Lücken in den Cisco-Routern haben wir im August dieses Jahres einen Alert gewidmet. Da Broadcom-SDKs wiederum keine Erwähnung finden und Cisco eine eigene CVE-ID nutzt, ist es für Außenstehende schwierig bis unmöglich, Parallelen zu ziehen:
Linksys hat laut Iot Inspector auf zwei Versuche der Kontaktaufnahme seit Juli 2021 bislang nicht reagiert. Ein kurzer Blick auf die Linksys EoL-Übersicht zeigt übrigens, dass einige der betroffenen Geräte noch gar nicht so "alt" sind: Die Modelle E900 und E1200 etwa waren noch bis Ende 2020 im Support.
Auf Anfrage von heise Security bestätigte Florian Lukavsky, Geschäftsführer von IoT Inspector, dass mit dem Deaktivieren von UPnP mögliche Folgen weiterhin bestehender Schwachstellen "gemindert" werden könnten. Dies sei allerdings nur als vorübergehende Maßnahme bis zur Anschaffung eines neuen, weiterhin vom Hersteller unterstützten Geräts empfehlenswert.
Möglicherweise weitere Hersteller betroffen
Gegenüber IoT Inspector gab Broadcom an, dass der verbuggte SDK-Code "nicht in aktuellen oder annähernd aktuellen Geräten" zum Einsatz komme. Man habe die "letzten annähernd ähnlichen Probleme schon vor Jahren korrigiert" und Kunden benachrichtigt. Schuldig bleibt Broadcom die Information, welche SDK-Versionen denn konkret betroffen waren. Dies wiederum mache es laut IoT Inspector besonders schwierig, betroffene Geräte zu identifizieren.
Das Unternehmen bietet Nutzern eine kostenlose Testmöglichkeit für ihre potenziell betroffenen Produkte, für die eine Registrierung mit Name und E-Mail-Adresse notwendig ist. Im Anschluss kann man Firmware hochladen und automatisiert analysieren lassen.
Die zugrundeliegende Supply-Chain-Problematik, bei der Gerätehersteller teils ungeprüft verwundbaren Drittanbieter-Code nutzen und bestehende Schwachstellen mitunter millionenfach an Endnutzer "durchreichen", ist lange bekannt. Lukavsky spricht in diesem Zusammenhang von "Copy-Paste-Engineering". Sein Unternehmen hatte zuletzt im August dieses Jahres auf Schwachstellen in SDKs der Firma Realtek hingewiesen, die Wireless-SoCs in Geräten zahlreicher Hersteller betrafen:
(ovw)