SECURITY: Präparierte Webseite schaltet Firewall im Router aus
Eine Schwachstelle im beliebten Linksys-Router WRT54GL verdeutlicht einmal mehr, wie Session Riding beziehungsweise Cross Site Request Forgery (CSRF) funktioniert. Mit einem einzigen präparierten Link in einer Webseite kann es ein Angreifer schaffen, die Firewall von außen zu deaktivieren. Andere Konfigurationsänderungen sind ebenfalls möglich.
Während des Angriffs muss allerdings der Besitzer des Routers gerade in der Bedienoberfläche eingeloggt sein und eine manipulierte Webseite ansurfen. Dies kommt aber nicht unbedingt selten vor, viele Anwender suchen oft nach Konfigurationsanleitungen zu bestimmten Punkten des Gerätes im Internet und sind dabei gleichzeitig am Router angemeldet. Enthält die Seite dann einen Link wie:
https://192.168.1.1/apply.cgi?submit_button=Firewall
&change_action=&action=Apply&block_wan=1&block_
loopback=0&multicast_pass=0&ident_pass=0&block_cookie
=0&block_java=0&block_proxy=0&block_activex=0&filter=
off&_block_wan=1&_block_multicast=0&_ident_pass=1
ist es um die Sicherheit geschehen (vorausgesetzt die Standard-IP-Adresse wurde beibehalten).
Die Ursache des Problems ist die implizite Authentifizierung durch den Cookie. Betroffen ist laut Fehlerbericht auf der Sicherheitsmailing-Liste Bugtraq die Firmware-Version 4.30.9. Der Hersteller wurde zwar am 14. August 2007 informiert, eine Lösung des Problems gibt es jedoch noch nicht. Cisco, zu dem Linksys seit 2003
gehört soll allerdings an einem Update arbeiten. Anwender sollten bis dahin der Empfehlung folgen und während der Routerkonfiguration keine weiteren Seiten aufrufen. Ein anderes Beispiel für Session Riding lieferte
zuletzt Google Mail.
Der WRT54GL ist die Nachfolgeversion des WRT54G, die wieder auf Linux beruht. Im WRT54G hatte der Hersteller zwischenzeitlich auf VxWorks als Betriebssystem umgestellt.
Während des Angriffs muss allerdings der Besitzer des Routers gerade in der Bedienoberfläche eingeloggt sein und eine manipulierte Webseite ansurfen. Dies kommt aber nicht unbedingt selten vor, viele Anwender suchen oft nach Konfigurationsanleitungen zu bestimmten Punkten des Gerätes im Internet und sind dabei gleichzeitig am Router angemeldet. Enthält die Seite dann einen Link wie:
https://192.168.1.1/apply.cgi?submit_button=Firewall
&change_action=&action=Apply&block_wan=1&block_
loopback=0&multicast_pass=0&ident_pass=0&block_cookie
=0&block_java=0&block_proxy=0&block_activex=0&filter=
off&_block_wan=1&_block_multicast=0&_ident_pass=1
ist es um die Sicherheit geschehen (vorausgesetzt die Standard-IP-Adresse wurde beibehalten).
Die Ursache des Problems ist die implizite Authentifizierung durch den Cookie. Betroffen ist laut Fehlerbericht auf der Sicherheitsmailing-Liste Bugtraq die Firmware-Version 4.30.9. Der Hersteller wurde zwar am 14. August 2007 informiert, eine Lösung des Problems gibt es jedoch noch nicht. Cisco, zu dem Linksys seit 2003
gehört soll allerdings an einem Update arbeiten. Anwender sollten bis dahin der Empfehlung folgen und während der Routerkonfiguration keine weiteren Seiten aufrufen. Ein anderes Beispiel für Session Riding lieferte
zuletzt Google Mail.
Der WRT54GL ist die Nachfolgeversion des WRT54G, die wieder auf Linux beruht. Im WRT54G hatte der Hersteller zwischenzeitlich auf VxWorks als Betriebssystem umgestellt.
Eingestellt von megablaster Am/um
1/11/2008 02:37:00 PM
0 Kommentare:
Kommentar veröffentlichen
Abonnieren Kommentare zum Post [Atom]
<< Startseite