Sicherheitslücken in Zwangsroutern von Vodafone / Kabel Deutschland

Derzeit macht eine alarmierende Meldung bei heise Security Kabel Deutschland bzw. Vodafone Kunden ein mulmiges Gefühl. Bei zwei Zwangsrouten, die eine der größten Verbreitung beim Anbieter haben, gibt es 2 kritische Schwachstellen in der WLAN Verschlüsselung, bzw. der WPS-Pin Funktion die standardmäßig aktiviert ist. Dies ist auch der Fall, wenn sich Kunden die WLAN Option für 2 Euro nachträglich dazu buchen. So besteht derzeit die Möglichkeit für Angreifer, sich ein Zugang zum bestehenden Netz zu verschaffen und damit ungesicherten Datenverkehr mitzuschneiden und auszulesen. Da sich der Angreifer auch im selben Netzwerk befindet, sind sogar direkte Angriffe auf die einzelnen Geräte im Netzwerk möglich.

Betroffen sind die Kabelmodems mit WLAN von Compal Broadband Networks (CBN) und Hirten. Damit dürfte ein Großteil von Vodafone / Kabel Deutschland Kabelkunden betroffen sein, obwohl Vodafone von einigen Tausend betroffenen spricht.

Die Sicherheitslücke betrifft bei den genannten Routern das WPS (Wi-Fi Protected Setup). Damit wird relativ einfach eine Verbindung zu einem neuen Gerät aufgebaut. Mit WPS lassen sich Geräte ohne Passwort in das Netzwerk einbinden. Wie bei der DECT Telefonie, wird einfach das WPS durch einen Tastendruck am Gerät aktiviert und eine Verbindung zum WLAN Router ist möglich. Auch die WPS-PIN Methode wird oft genutzt. Damit wird Anstelle des langen WLAN-Passworts eine einfache PIN zum Verbinden genutzt.

Beim Hitron-Model wird der voreingestellte WPS-PIN einfach von der MAC-Adresse des WLAN-MODULs abgeleitet und genau diese kann mit dem WLAN auch öffentlich eingesehen werden. Jeder in Reichweite kann diese einsehen und mit dem öffentlich gemachten Algorithmus errechnet werden. Diese Berechnung ist sogar mit einem einfachen Taschenrechner möglich.

Bei der zweiten Angriffsmethode auf die WPS-PIN sind beide Routenmodelle anfällig. Die Pixiedust Methode ist seit Ende 2014 bekannt und sehr gut beschrieben ist. http://www.slideshare.net/0xcite/offline-bruteforce-attack-on-wifi-protected-setup

Vodafone bestätigte gegenüber c’t die “theoretische Schwachstelle”, behauptet aber, dass lediglich Kunden betroffen sind, welche die WPS-PIN-Funktion aktiv genutzt haben – weniger als 1000 in ganz Deutschland. Im Rahmen der c’t-Recherche zeigte sich jedoch, dass anscheinend alle Router der beiden Typen anfällig sind, sobald die WLAN-Option beim Provider gebucht wurde. Laut Vodafone ließen weit über eine Million Kunden die WLAN-Schnittstelle der Zwangsrouter kostenpflichtig freischalten.

Vodafone hat bereits bei den Router-Herstellern ein neues Firmware Update angefordert, welche die Probleme beseitigen sollen. Nach eigenen Angaben, soll bereits die ersten Updates verteilt wurden. Bis zum Jahresende sollen die 1,3 Millionen Router abgesichert sein.

Beim CBN Router können Kunden das WPS selbst deaktivieren: Webinterface vom Router aufrufen => Gateway => WLAN => WPS

Beim CVE-30360 soll auf die Posh-Button-Methode umgestellt werden, damit sich die WPS PIN Funktion abschaltet.

Alle Kunden, die keine WLAN Option gebucht haben, oder das Kabelmodem vor einem eigenen Router betreiben, sind davon nicht betroffen.