Passwort-loser Zugang zu zahlreichen Netzwerkgeräten
Das Betriebssystem vxWorks bietet für die Fehlersuche während der Produktentwicklung einen ungesicherten Zugang. Offenbar vergessen viele Hersteller, diesen in den fertigen Geräten zu deaktivieren.
Das Embedded-Betriebssystem vxWorks der Intel-Tochter Wind River steckt in den unterschiedlichsten Geräten, nicht nur in Routern wie Apples Airport Extreme sondern auch in Switches, Druckern und VoIP-Telefonen. Es fährt in Navigationssystemen auf der Autobahn mit und im Rover der NASA auf dem Mars. Hardwarehersteller kaufen von Wind River Lizenzen für Module des Betriebssystems und bauen daraus ihre Firmware zusammen. Der falsche Umgang mit zweien dieser Module hat sich nun als Ursache für Sicherheitslücken in zahlreichen Geräten herausgestellt.
Das eine Modul ist der Debugger-Zugang über das Netzwerk. Während der Produktentwicklung erlaubt es dieser Remote-Debugger, den gesamten Gerätespeicher auszulesen und zu ändern sowie beliebige Funktionen aufzurufen - damit es schneller geht ohne jede Zugriffskontrolle. Dummerweise vergessen manche Hersteller, diesen Zugang im fertigen Produkt zu deaktivieren. Innerhalb kurzer Zeit konnte der Entdecker der Lücke über 450 betroffene Firmware-Versionen der unterschiedlichsten Geräte finden.
Gemeinsam mit dem US-CERT informierte er im Juni über 50 Hersteller von betroffenen Geräten. Bisher hat nur einer (Rockwell Automation) zu dem Problem Stellung genommen. Lediglich Cisco reagierte mit einem Firmware-Update für ein VoIP-Telefon. Doch offensichtlich haben auch andere Hardware-Entwickler ihren Fehler bemerkt, denn bei manchen Geräten sind nur einzelne, veraltete Firmware-Versionen betroffen. Beispielsweise stellte sich die Firmware des Apple Airport Extreme ab Version 5.4 als dicht heraus.
Der vxWorks-Debugger läuft auf dem UDP-Port 17185. Geräte, die dort nicht reagieren, sind nicht betroffen.
Das zweite Problem liegt in einem Modul, mit dem der Hardware-Hersteller einen Benutzernamen und das zugehörige Passwort fest in die Firmware einbauen kann. Die Prüfung des Passworts beim Login hat man bei Wind River etwas ungeschickt programmiert, sodass ein Angreifer nur rund 8000 Passwörter probieren muss. Dafür hat er alle Zeit der Welt, weil der FTP-Server von vxWorks beliebig viele Login-Versuche zulässt. Allerdings klappt das nur, wenn der Hardware-Hersteller den Default-Login in einem fertig konfigurierten System aktiv lässt, wovon Wind River abrät. Außerdem muss er die von Wind River gelieferten Passwort-Funktionen nutzen. Und der Angreifer muss den Namen des Default-Zugangs vorab kennen.
Wie viele Geräte von diesem Problem betroffen sind, geht aus den Meldungen nicht hervor. In der Regel finden sich die Standard-Usernamen und -Passwörter für die meisten Geräte ohnehin im Internet. Durch diesen Fehler wird die Suche nur etwas vereinfacht. (je)
