WPS-Sicherheitslücke in Vodafone-Routern entdeckt

Das Bürger-CERT, ein Projekt des Bundesamts für Sicherheit in der Informationstechnik, warnt vor einer Schwachstelle in der WLAN-Konfiguration von Vodafones DSL-Routern EasyBox 802 und 803 des Herstellers Arcadyan/Astoria Networks. Entdeckt hat die Lücke im WiFi Protected Setup (WPS) Stefan Viehböck von SEC Consult.

Ein entfernter Angreifer mit Kenntnis der MAC-Adresse, die via WLAN ohne weitere Authentisierung auslesbar ist, kann bei den beiden Routern im Auslieferungszustand die standardmäßig eingestellte WPS-PIN sowie das Passwort der WLAN-Verschlüsselung ermitteln. Dadurch erhält er per WLAN Zugriff auf das interne Netz. Anschließend ist es ihm möglich, beispielsweise Informationen abzugreifen oder die Internetverbindung missbräuchlich zu nutzen.

Als Workaround empfiehlt das Bürger-CERT Anwendern der betroffenen Router, die WPS-PIN zu ändern, WPS zu deaktivieren und ihr Passwort für die WLAN-Verschlüsselung zu ändern. Wie das geht, wird in den Benutzerhandbüchern erklärt, die das BSI auch auf seiner Website als PDF-Datei vorhält.

Vodafone-Kunden können anhand der EasyBox-Seriennummer überprüfen, ob ihr Gerät von der Schwachstelle betroffen ist. Das gilt für alle Modelle, deren Seriennummer mit „R134“ oder kleiner beginnt. Laut Bürger-CERT sind das alle EasyBox-802-Router und die EasyBox 803 mit Produktionsdatum vor August 2011. Allerdings lässt sich nicht ausschließen, dass weitere Modelle des Herstellers Arcadyan/Astoria Networks betroffen sind.

Vodafone arbeitet nach eigenen Angaben „mit Hochdruck an einer neuen Firmware für die älteren EasyBoxen“. Die angestrebte Lösung soll den illegalen Zugriff auf die betroffenen Geräte verhindern, auch wenn das WLAN-Passwort nicht geändert wurde.

Es ist nicht das erste Mal, dass Viehböck den schlampigen Umgang der Hersteller mit der Verschlüsselung in WLAN-Routern anmahnt. Im Dezember 2011 hat das US-CERT nach einem Bericht Viehböcks davor gewarnt, dass Router durch die unsaubere Implementierung von WPA leicht angreifbar seien.

WPS soll es Nutzern auch ohne große technische Kenntnisse ermöglichen, neue Geräte einfach einem vorhandenen Netz hinzuzufügen und dennoch eine sichere WPA-Verschlüsselung zu nutzen. Dazu wird eine achtstellige PIN verwendet. Die lässt sich jedoch durch mehrere Versuche, das Passwort einzugeben, knacken.

Ein vergeblicher Versuch verrät einem Angreifer, ob die ersten vier Stellen richtig sind. Die letzte Stelle ist ebenfalls bekannt, da sie die Prüfsumme der PIN bildet. Davon ausgehend lassen sich in maximal 10.000 Versuchen die weiteren Stellen erproben, bis die PIN vollständig erkannt ist. Wie das im Detail funktioniert, erklärt der ZDNet-Artikel „WPA2 geknackt: Wie der neue WLAN-Hack funktioniert„.

Das Problem war, dass zahlreiche Hersteller keine oder nur unzureichende Maßnahmen ergriffen hatten, um solche Brute-Force-Angriffe zu blockieren. Daher konnte ein Angreifer im Prinzip in aller Ruhe, alle denkbaren PIN-Kombinationen erproben – was im ungünstigsten Fall rund vier Stunden dauert. Im Durchschnitt kann ein Angriff in etwa zwei Stunden erfolgreich sein.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de