Trends & News | News

Router und Co. über UPnP angreifbar

Millionen netzwerkfähige Geräte sind angeblich über öffentlich zugängliche UPnP-Dienste attackierbar, warnen die Sicherheitsexperten von Rapid7. Ein Angreifer kann sich über die verwundbaren Geräte potenziell ins interne Netz weiterhangeln oder den eingestellten DNS-Server verändern, um den Internetverkehr umzuleiten.

Das Unternehmen hat einen Scan aller IPv4-Adressen durchgeführt und dabei über 80 Millionen Geräte entdeckt, die auf sogenannte UPnP Discovery Requests geantwortet haben. Das ist höchst verwunderlich, weil Universal Plug and Play (UPnP) eigentlich dazu dient, dass sich Geräte im lokalen Netzwerk gegenseitig finden und Steuerbefehle austauschen können.

Es zeigte sich, dass viele Hersteller die UPnP-Funktionen mit Intels libupnp und MiniUPnP realisiert hatten. Ferner entdeckte Rapid7 in diesen Bibliotheken zahlreiche Sicherheitslücken wie etwa Pufferüberläufe. Dass diese jetzt allerdings massenhaft für Cyber-Angriffe missbraucht werden, ist eher unwahrscheinlich: Die Sicherheitsexperten fanden nämlich fast 7000 unterschiedliche Hardware-Versionen von über 1500 Herstellern vor – darunter D-Link, Fujitsu, Huawei, Logitech, Netgear, Siemens, Sony, TP-Link, Zyxel und viele weitere. Ein Exploit, der etwa einen Pufferüberlauf ausnutzt, müsste vermutlich speziell an sehr viele Modelle angepasst werden.

Hierzulande scheint das Problem recht überschaubare Ausmaße zu haben, was auch daran liegen dürfte, dass in Deutschland weitverbreitete Routerlieferanten wie AVM und die Telekom nach eigenen Angaben nicht betroffen sind. Wer überprüfen will, ob unter der eigenen Internet-IP ein Gerät auf UPnP-Pakete antwortet, kann hierfür den Netzwerkcheck von heise Security nutzen (siehe c’t-Link). (rei)

Neue Java-Schutzfunktion schon ausgehebelt

Auch die mit Java-Version 7 Update 11 eingeführte Änderung der Standard-Sicherheitseinstellungen (siehe c’t 4/13, S. 38) kann nicht verhindern, dass ohne Zutun des Nutzers verseuchte Java-Applets auf Webseiten ausgeführt werden. Eigentlich sollte das Hochsetzen der Sicherheitsstufe von „mittel“ auf „hoch“ dafür sorgen, dass unsignierte Applets und WebStart-Applikationen erst starten, wenn man einen Sicherheitsdialog abnickt.

Es dauerte jedoch nicht lange, bis das Team rund um den polnischen Sicherheitsforscher Adam Gowdiak einen Weg fand, die Abfrage zu umgehen. Zusammen mit neu entdeckten Schwachstellen hatte das Forschungsteam schließlich erneut alle Puzzleteile zusammen, um Java-Nutzern über speziell präparierte Webseiten Code unterzujubeln. Statt den Exploit in Untergrundforen meistbietend zu veräußern, schickten ihn die Whitehats an den Java-Hersteller Oracle.

Dort lag offensichtlich schon deutlich mehr im Argen, wodurch sich das Unternehmen dazu gezwungen sah, die Veröffentlichung des nächsten Java-Updates deutlich vorzuziehen. Neben dem oben beschriebenen beseitigt die Java-Version 7 Update 13 auch noch 49 weitere Sicherheitsprobleme; 29 davon hat der Hersteller den höchstmöglichen Schweregrad zugeteilt. Drei der Lücken betreffen auch den Java-Einsatz auf Servern. Oracle begründet das unplanmäßige Update damit, dass Lücken in der nur drei Wochen zuvor veröffentlichten Vorgängerversion bereits von Cyber-Kriminellen für Angriffe ausgenutzt werden.

Wer Java auf seinem System hat, sollte umgehend ein Update auf die aktuelle Version durchführen. Kann man auf Java verzichten, deinstalliert man es am besten – das ist immer noch der beste Schutz vor aktuellen und zukünftigen Lücken. Wer nur auf lokale Java-Anwendungen angewiesen ist, sollte zumindest die Java-Plug-ins innerhalb der Browser abschalten. (rei)

Eset spürt Diebe auf

Der Antivirenhersteller Eset verspricht, dass die 6er Versionen seiner Schutzprogramme NOD32 Antivirus und Smart Security verseuchte Datei-Downloads in vielen Fällen schon während des Herunterladens erkennen. Darüber hinaus sollen die Programme jetzt zuverlässiger vor Phishing warnen.

Die Security-Suite Smart Security bietet darüber hinaus unter anderem die Funktion Anti-Theft, mit deren Hilfe man seinen Rechner nach einem Diebstahl lokalisieren und den Gauner über die Notebook-Webcam beobachten kann. NOD32 Antivirus kostet 30 Euro pro Jahr, Smart Security 5 Euro mehr. Wie sich die neue Eset-Version im Vergleich zur Konkurrenz schlägt, erfahren Sie auf Seite 82. (rei)

Sicherheits-Notizen

Eine kritische Lücke gefährdet Server, auf denen Ruby on Rails läuft. Abhilfe schafft ein Update auf 3.0.20 und 2.3.16. Da es bereits einen Exploit gibt, sollten Betroffene umgehend handeln.

Online-Gauner verbreiten Malware inzwischen auch über vermeintliche ELSTER-Steuerbescheide, warnt das BSI.

Fast alle bislang produzierten Barracuda-Appliances enthalten fest voreingestellte Benutzeraccounts, durch die ein Angreifer potenziell auf die Geräte zugreifen kann.

Der SMS-Ersatz WhatsApp wird verstärkt für Spam missbraucht. Wer von Unbekannten aufgefordert wird, bestimmte URLs zu besuchen, sollte die Nachricht ignorieren und den Absender auf die Blockierliste setzen.

In einigen D-Link-Routern wie dem DIR-600 klaffen kritische Schwachstellen, durch die Angreifer aus der Ferne das Admin-Passwort auslesen und beliebige Befehle einschleusen können (siehe c't-Link).

Artikel kostenlos herunterladen

weiterführende Links

Anzeige
Anzeige