CSRF-Lücke gefährdet weiterhin DSL-Router

467887

CSRF bedeutet “Cross Site Request Forgery” und bezeichnet eine Angriffstechnik, bei der ein HTTP-Request (Anweisung) in einer Webanwendung (Browser) ausgeführt wird. Mittels einem CSRF ist es beispielsweise möglich das Passwort oder die DNS-Server-Einstellungen eines Routers zu ändern. Dieses Szenario wurde bereits erfolgreich in Brasilien umgesetzt, wo laut Kaspersky ca. 4,5 Millionen Geräte so manipuliert worden sind.

Vorraussetzung für einen erfolgreichen Angriff über CSRF ist die Verwendung eines anfälligen Routermodells und der dazugehörigen Logindaten.

Standard-Kennwörter in Routern laden Angreifer geradezu ein

Für die Ersteinrichtung des heimischen Internet-Routers wird vom Hersteller eine Standard-IP-Adresse (meist “192.168.0.1″ oder “192.168.1.1″) und ein Standard-Benutzer (“admin” oder “administrator”) vorgegeben. Das Kennwort wird in der Regel auch recht einfach gehalten, um es dem Benutzer so unkompliziert wie möglich zu machen. Häufig wird hier als Standard-Kennwort beispielweise “admin” oder “passwort” genutzt. Genau hier allerdings liegt die Gefahr!

Da in vielen Fällen das voreingestellte Passwort des Routers nach der Installation vom Benutzer nicht abgeändert wird, kann der Angreifer vorgefertigte Listen verwenden, um Zugriff auf das Gerät zu bekommen.

Anhand dieser Daten lässt sich nun ein HTTP-Request erstellen der die DNS-Server abändert. Der könnte z. B. so aussehen:

http://benutzer:passwort@ip-adresse/anweisung.html?dnsserver=8.8.8.8

Der DNSChanger nutzte genau diese Schwachstelle aus, um die voreingestellten DNS-Server des Providers im Router mit denen des DNSChangers auszutauschen und somit alle Internet-Anfragen über genau diese Server laufen zu lassen.

Mittlerweile sind einige Hersteller dazu übergegangen im Konfigurationsassistenten des Routers während oder nach der Einrichtung auf ein neues Kennwort hinzuweisen, bzw. von vornherein keine “leichten” vorgegebenen Passwörter zu verwenden, sondern jedem Gerät ein individuelles Kennwort zu verteilen.

E-Mail-Client von Apple anfällig

Der Sicherheitsforscher Bogdan Calin demonstriert in seinem Blog einen Angriff über diese Sicherheitslücke mit einer E-Mail auf dem iPhone. In der Testmail wird ein Bild hinterlegt und zusätzlich einige iFrames eingebettet. Die automatische Anzeige von Bildern in Apples E-Mail-Client ist standardmäßig aktiviert und startet somit auch die GET-Requests auf die hinterlegten IP-Adressen mit dem Ziel den DNS-Server im Router abzuändern, wie im Beispiel angezeigt.

Beispiel einer schädlichen E-Mail

Erfolgreich getestet hat Bogdan Calin dieses Szenario mit einer so präparierten E-Mail auf einem iPhone und einem Router des Modells ASUS RT-N16, bzw. ASUS RT-N56U mit Standardkennwörtern. Dieser Vorgang lässt sich allerdings auch auf andere Router übertragen, die mit Standardkennwörtern arbeiten.

So schützen Sie sich vor CSRF-Angriffen

Wir empfehlen die automatische Bildanzeige im E-Mail-Programm zu deaktivieren, bzw. erst auf Klick anzeigen zu lassen. Beim iPhone z. B. wählen Sie dazu „Mail – Kontakte – Kalender“ und deaktivieren die Option „Entfernte Bilder laden“.

Sie sollten in jedem Fall das Standardpasswort Ihres Routers sofort nach der Installation ändern und ein sicheres Kennwort verwenden!

2 Thoughts on “CSRF-Lücke gefährdet weiterhin DSL-Router

  1. Michael B. on 13. Dezember 2012 at 09:39 said:

    Danke für den Artikel, du hast mir damit weitergeholfen. Genau nach solch eine Beschreibung habe ich gesucht.

    Michael B.

  2. Jürgen Giegold on 10. Juli 2013 at 23:06 said:

    Hallo Leute,

    mein Router ist seit ca. 2-3 Jahren Angriffen ausgesetzt. Erst seit 2 Tagen versuche ich die IP-Adressen, die diese Eindringversuche starten, zu beleuchten.
    Mein Router hat eine sogenannte “Intrusion Detection”. Ich habe ihn so konfiguriert, dass ich bei jedem abgewehrten Eindring-Versuch eine Email erhalte. In dieser Email sind dann IP-Adresse des Angreifers, Port und Art des Angriffes enthalten (flood to host, Smurf, UDP loop etc).
    Derzeit bin ich damit beschäftigt, die Firmen von denen diese Attacken ausgehen, an zu schreiben. Aber die Unternehmen wechseln anschließend. Jeder interessierte kann sich über die “Angreifer” informieren, wenn er die IP-Adresse des Unternehmens kennt. Z.B. über http://www.utrace.de/widget.php.
    Das habe ich getan und mich bei jedem Unternehmen nicht nur beschwert sondern auch mit der deutschen Staatsanwaltschaft gedroht. Ob das amerikanische Unternehmen interessiert weiß ich noch nicht, werde mich aber auf jeden Fall mit rechtlichen Mitteln wehren.

    Hier einige IP-Adressen von Angreifern:

    82.192.75.32
    80.82.64.231
    72.46.141.148
    173.242.124.122
    205.251.243.0

    Vorausgesetzt mein Router arbeitet korrekt was diese “Intrusion Detection” anbelangt, läuft da eine Riesensauerei ab, an der auch europäische Unternehmen beteiligt sind.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Post Navigation