Web-Sicherheit

Mai 5, 2011

Weitere Schwachstellen in SOHO-Appliances

Filed under: Allgemein — sebastiankuebeck @ 08:16
Tags: , , , ,

Vor einiger Zeit habe ich versucht zu erörtern, warum es so viele Schwachstellen in SOHO-Routern (Small Office, Home Office) gibt und wenn Sie diesen Artikel gelesen haben, werden Sie sich nicht wundern, dass schon wieder Schwachstellen gefunden worden sind. Diesmal handelt es sich um „Sicherheitsprodukte“ aus der Zyxels ZyWall Produktreihe.

ZyWALL USG 20. Laut Herstellerangaben ist das Gerät
ICSA und IPSEC zertifiziert. Jeder weitere Kommentar
über den Wert solcher Zertifizierungen ist glaube
ich überflüssig…

Nach Angaben des RedTeams kann man die Verschlüsselung von Aktualisierungsdateien knacken und so beliebige Dateien auf dem Gerät hochladen. So kann man natürlich auch die Konfiguration so verändern, dass man einen neuen Benutzer mit selbst gewähltem Passwort hinzufügen kann.

Bedeutend einfacher auszunutzen ist ein Konfigurationsfehler der Weboberfläche: Der Apache Webserver ist so konfiguriert, dass für Verzeichnisse, deren Pfad die Zeichenkette images/ enthält, keine Authentifizierung nötig ist. So lässt sich die Authentifizierung vollständig umgehen und mann kann beliebig Datein hoch und herunterladen.

Eine zweite, wirklich peinliche Schwachstelle ergibt sich durch einen Variable namens isAdmin im JavaScript-Teil der webbasierten Administrationsoberfläche: Wie Sie vielleicht schon erraten haben, genügt es, einen Proxy wie Paros zu verwenden und die Variable auf true zu setzen, um Administratorrechte zu erlangen.

Die Autoren empfehlen dringend, die webbasierten Administrationsoberfläche zu deaktivieren, bis Zyxel diese Probleme behoben hat.

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: