25.08.2011
Sicherheit
Schwachstelle in UPnP-fähigen Routern
Autor: Thorsten Eggeling
Einige DSL-Router ermöglichen auch über das Internet einen Zugriff per UPnP. Damit lassen sie sich ohne Passwort-Abfrage neu konfigurieren. Hacker könnten so Zugang zum lokalen Netzwerk erhalten.
ent zur Steuerung von Geräten wie Routern, Druckern oder TV-Geräte über das Netzwerk. Der IT-Sicherheitsexperte Daniel Garcia hat dort nun eine Schwachstelle ausfindig gemacht. Manche DSL-Router unterstützen demnach UPnP auch auf der WAN-Schnittstelle und sind dadurch über das Internet umkonfigurierbar. So können sie als Proxy genutzt werden und Angreifer könnten Zugriff auf das interne Netzwerk erhalten.
Garcia hat zur Demonstration des Problems das Tool Umap entwickelt. Es fragt per Internet direkt die XML-Beschreibungen von Geräten ab und findet so UPnP-fähige Endgeräte wie DSL-Router und Kabelmodems. Umap umgeht die UPnP-Beschränkung auf lokale Netzwerke, wo sonst üblicherweise über Multicast nach kompatibler Hardware gesucht wird. UPnP kennt keine Authentisierung. Insofern kann die XML-Beschreibung ungehindert abgefragt werden. So hat Garcia in kurzer Zeit über 150.000 potenziell angreifbare Geräte aufgespürt. Betroffen sind Geräteserien von Sitecom, Edimax, Thomson (Speedtouch) und Linksys. Bei diesen Geräten kann der Port auch über die WAN-Schnittstelle geöffnet und auf ein beliebiges Gerät im LAN gelenkt werden. Umap errät nicht nur interne, sondern auch externe IP-Adressen. Dadurch können Angreifer fremde Internetanschlüsse zum Surfen oder zum Herunterladen illegaler Inhalte missbrauchen.
So können Sie sich schützen
Garcia rät dazu, UPnP zumindest für das WAN-Interface abzuschalten oder diese Technik ganz zu deaktivieren. Das könnte aber beispielsweise zu Verbindungsstörungen zwischen Spielekonsolen und Internet führen.
Garcia rät dazu, UPnP zumindest für das WAN-Interface abzuschalten oder diese Technik ganz zu deaktivieren. Das könnte aber beispielsweise zu Verbindungsstörungen zwischen Spielekonsolen und Internet führen.
Ohne Nokia
HMD zeigt erste Smartphones mit der eigenen Marke
Mit den drei neuen Pulse-Modellen bringt HMD seine ersten Smartphones auf den Markt, die nicht mehr unter der Lizenz von Nokia vermarktet werden.
>>
Salzbatterie
Neuer Super-Akku lädt in wenigen Sekunden
Eine neue Batterie des Korea Advanced Institute of Science and Technology (KAIST) lädt binnen Sekunden. Als Basismaterial kommt das auf der Erde in großen Mengen vorkommende Natrium zum Einsatz.
>>
Huawei Roadshow 2024
Technologie auf Rädern - der Show-Truck von Huawei ist unterwegs
Die Huawei Europe Enterprise Roadshow läuft dieses Jahr unter dem Thema "Digital & Green: Accelerate Industrial Intelligence". Im Show-Truck zeigt das Unternehmen neueste Produkte und Lösungen. Ziel ist es, Kunden und Partner zusammenzubringen.
>>
"Lass dich frei."
Apple mit Pencil- und iPad-Event im Mai
Unter dem Claim "Lass dich frei." oder "Let loose." hat Apple sein nächstes Event angekündigt. Konkret werden am 7. Mai um 16.00 Uhr neue Geräte vorgestellt.
>>