Gefahr für Router, Drucker und WLAN-Systeme:
UPnP-Sicherheitsloch kompromittiert Router

von Bernd Reder (bernd.reder@networkcomputing.de)

Share
16.01.2008

Vor einer gravierenden Sicherheitslücke warnt das US-CERT (Computer Emergency Response Team). Router und andere Geräte, die Universal Plug and Play (UPnP) unterstützen, können dank einer Sicherheitslücke von Hackern »übernommen« werden.

Die Angriffe können mittels manipulierter Adobe-Flash-Files (SWF) gestartet werden, die auf einer Web-Seite platziert sind. Sobald der Nutzer eines Routers, auf dem Universal Plug and Play aktiviert ist, eine solche Seite besucht, kann ein Hacker die Kontrolle über das System übernehmen.

Dazu ist es nicht erforderlich, dass der Angreifer Log-in-Daten oder Passwörter kennt, wie Gnucitizen.org [1] mitteilt. Die Organisation hat die Schwachstelle entdeckt und im Beitrag »Hacking the Interwebs [2]« detailliert beschrieben.

Gnucitizen.org hat die UPnP-Lücke entdeckt.

Nach Angabe der Autoren sind vor allem Router gefährdet, die in Heimnetzen oder kleinen Büros eingesetzt werden. Die Sicherheitslücke gefährde 99 Prozent der Systeme, in erster Linie deshalb, weil auf den meisten in der Grundeinstellung UPnP aktiviert ist.

Kein Betriebssystem sicher

Wie Gnucitizen auf einer Seite mit Erläuterungen [3] zur UPnP-Schwachstelle ausführt, sind Systeme aller Couleur anfällig, auf denen Flash-Files ausgeführt werden können, unabhängig vom Betriebssystem.

Angreifer können kompromittierte Router beispielsweise dazu veranlassen, DNS-Einträge zu ändern, andere IP- und PPP-Einstelllungen für Schnittstellen zu akzeptieren oder die WLAN-Einstellungen neu zu konfigurieren. Noch schlimmer: Der Hacker kann auf interne Services und die Administration des Systems zugreifen.

Allerdings sind nicht nur Router gefährdet, sondern alle Geräte, die UPnP unterstützen. Dazu gehören unter anderem Drucker, Mobiltelefone und Digitalkameras.

Tipps für Betroffene

Das US-CERT [4] hat mittlerweile eine Warnung [5] vor dem Sicherheitsloch herausgegeben. Auf der Web-Seite ist auch eine Liste der Hersteller [5] zu finden, deren Geräte betroffen sind. Sie liest sich wie ein »Who is Who« der Netzwerkbranche: Von 3Com über Alcatel, Avaya und Cisco bis hin zu EMC, Hewlett-Packard, IBM, Sun und Zyxel ist dort die Crème de la Crème der Anbieter zu finden.

Als »Workaround« empfiehlt das US-CERT, die UPnP-Funktion in Netzwerkgeräten zu deaktivieren. Der Nachteil ist, dass dann auch Services nicht mehr funktionieren, die darauf beruhen. Alleine den Adobe-Flash-Player zu deinstallieren oder zu deaktivieren, reicht nicht aus.

Auf der Seite des CERT sind zudem Hinweise für Nutzer von Windows XP und Vista sowie des Web-Browsers Firefox zu finden. Firefox-User sollten die »Noscript [7]«-Erweiterung installieren, um eine White-Lists von vertrauenswürdigen Web-Seiten zu erstellen, die Scipts verwenden.

Das CERT rät außerdem dazu, mithilfe einer Firewall die Ports 1900/udp und 2869/tcp für ein- und ausgehenden Verkehr zu sperren. Benutzer von Windows Vista sind übrigens auf der sicheren Seite: Die integrierte Firewall des Betriebssystems blockt UPnP-Daten von Haus aus.

[1] http://www.gnucitizen.org/
[2] http://www.gnucitizen.org/blog/hacking-the-interwebs
[3] http://www.gnucitizen.org/blog/flash-upnp-attack-faq
[4] http://www.us-cert.gov/
[5] http://www.kb.cert.org/vuls/id/347812
[6] http://www.kb.cert.org/vuls/id/347812
[7] http://noscript.net/