Sicherheitslücke bei Swisscom ADSL-Modems
Bei den von der Swisscom eingesetzten ADSL-Modems vom Typ Arcadyan SMCA1T -A und -B klafft offenbar eine Sicherheitslücke, die den Zugriff auf das Konfigurations-Menu zulässt. Wie Benedikt Köppel schreibt, liegt das Problem an der Konfigurations-CD von Swisscom, die keine Möglichkeit bietet, das Standardpasswort des Modems zu ändern. Damit sind die Konfigurationsseiten trotz ausgeschaltetem Fernzugriff auf Port 9000 erreichbar.
Ein Login auf der gefundenen IP mit dem Standard-Passwort führt zuerst ins Nirvana. Durch drücken auf „Zurück“ und „Reload“ im Browser gelangt man allerdings ins Konfigurations-Menu des Routers.
Dort findet man jede Menge persönlicher Daten wie zum Beispiel das Zugriffskürzel für die ADSL-Verbindung und das zugehörige Passwort. Ausserdem kann man die an den Router angeschlossenen Geräte identifizieren.
Natürlich lässt auf den Konfigurationsseiten somit das gesamte Router-Setup inkl. Administratorenpasswort ändern, was wohl nicht im Sinne des Nutzers sein dürfte. Nachprüfen konnte ich das bisher mangels Arcadyan-Modem allerdings nicht, aber vielleicht liest hier ja ein Besitzer eines solchen Modems mit?
Die Swisscom wollte sich bis zum jetzigen Zeitpunkt nicht zur Sicherheitslücke äussern. Als Workaround empfiehlt es sich aber, das Administratorenpasswort des Arcadyan-Modems schnellstmöglich zu ändern. Dazu loggt man sich aus dem LAN auf 192.168.1.1 ein, wählt dann „Start“, „Expertenmodus“, „Ja. Zum Expertenmodus wechseln“, „Konfiguration“, „Router-Passwort“ und wechselt dort entsprechend das Passwort.
[Update] 15:21 Uhr
In der Zwischenzeit ist auch die Stellungnahme von Myriam Ziesack, Mediensprecherin der Swisscom eingetroffen:
Swisscom hat gestern von diesem Problem erfahren und arbeitet an einer Lösung.
Der Zugriff auf den Router, sprich Zugriff auf Login und Passwort des Routers ermöglicht es Dritten lediglich, die Internetleitung des Routerinhabers mit zu nutzen. Quasi mit grossem Aufwand gratis zu surfen.Wir empfehlen den Kunden, das Router-Passwort zu ändern. Swisscom empfiehlt grundsätzlich, dies regelmässig zu tun. Bei den betroffenen Modems wird so schnell wie möglich eine neue Firmware-Version aufgespielt, welche das Problem behebt. Es ist nicht möglich, Zugriff auf Geräte ausserhalb des Routers zu erlangen. Kundendaten sind zu keinem Zeitpunkt einsehbar.
(via Symlink)
WP 2.0.2 Security Release
Alle, die sich wegen der angeblichen Sicherheitslücken in WordPress 1.5+ und 2.0+ Sorgen gemacht haben, können aufatmen:
An important security issue has been brought to the attention of the WordPress team and we have worked diligently to bring you a new stable release that addresses it. Our latest version 2.0.2 contains several bugfixes and security fixes.
Aber, das „important security issue“ bezieht sich nicht auf die schon bekannten angeblichen Sicherheitslücken:
Just a quick note: this is different than the snake-oil reports that went out on some security lists a few days ago. There were a couple, but they were either not actual security problems, too small to warrant a release, or just patently false. Remember: just because you read it on a mailing list doesn’t mean that it’s true. We’d be the first people to panic if there was an actual problem.
WP Sicherheitslücke? Nicht wirklich…
Viel Wind in allerlei Blogs gibts derzeit um angebliche Sicherheitslücken in WordPress 1.5+ und 2.0+, welche vom Neo Security Team in einem Advisory veröffentlicht wurden. Nachdem auch Heise auf den Zug aufgesprungen ist und die Meldung offenbar ungeprüft übernommen hatte, mehrten sich die Stimmen, die ein sofortiges Patchen der WordPress-Dateien empfahlen.
Auch ich war im ersten Moment aufgeschreckt und versuchte, die genannten Lücken zu verifizieren. Allerdings stellte sich schnell heraus, dass die Warnungen ziemlich übertrieben sind. Die Sicherheitslücke entsteht nämlich nur, wenn der (angemeldete) Administrator selbst den entsprechenden Code als Kommentar postet.
Robert Deaton drückt es in seinem Post „WordPress Vulnerabilities: Bogus“ so aus:
Uh oh, the blog administrator can post something bad. Well, seeing as though anybody that would have the unfiltered_html cap is either the blog administrator or a highly trusted user, I’m sure that there are many, many ways that they could post such harmful code. This isn’t a vulnerability in WordPress, this is intended behavior, the cap was created so that an administrator could post javascript or whatever they feel like in posts and comments.
Auch im Forum von wordpress.de äusserst man sich gelassen zur angeblichen Sicherheitslücke, genauso im entsprechenden Thread bei der englischsprachigen WordPress Community. Gerade dort ist die Diskussion teilweise ziemlich spannend, da einige verschiedene Meinungen aufeinander prallen, aber schlussendlich dann doch daraus abzuleiten ist, dass keine wirkliche Gefahr besteht.
Wer nun aber doch seine Besucher vor sich selbst schützen und verhindern will, dass sie sich die eigenen Javascript-Popups um die Ohren schlagen, kann die im Advisory genannten Änderungen am File „wp-comments-post.php“ vornehmen oder sich den inoffiziellen Patch von Stellwag.us holen. Dabei ist aber zu bedenken, dass Probleme bei der Darstellung von Umlauten entstehen können und keine HTML-Tags in den Kommentaren mehr möglich sind.
[Update]
Gemäss WolliW ist das Problem mit den Umlauten nun behoben (siehe Kommentar).