Schlechter Port-Schutz gefährdet Millionen von Web-Radio-Geräten

Dank eines undokumentierten Telnet-Dienstes, der schwache Standardanmeldeinformationen verwendet, könnten mehr als 1 Million Imperial & Dabman-Internetradio-Geräte RCE-Angriffen zum Opfer fallen. Der Fehler wurde aufgedeckt, nachdem Forscher des Vulnerability Magazine (VM) einen routinemäßigen Port-Scan einiger Geräte durchgeführt hatten. Als Telnetd bezeichnet, wurde festgestellt, dass der Dienst auf Port 23 ausgeführt wird. Da Telnetd auf relativ schwachen Anmeldeinformationen basiert, kann er als Hintertür für eine Vielzahl bösartiger Bedrohungen dienen.

Schwaches Passwort, aber immer noch ein Passwort. Ist es so schlimm?

Ein schwaches Passwort zu haben ist zwar besser als gar kein Passwort zu haben, aber es ist kaum ein Grund, aufatmen zu müssen. Passwörter sind ständig Brute-Force-Angriffen ausgesetzt. Schwache Passwörter können in wenigen Minuten neutralisiert werden, während sich starke Passwörter als äußerst belastbar erweisen. Im Fall von Imperial & Dabman ist Port 23 durch ein schwaches Passwort geschützt. Gelingt es Angreifern, diesen Pass zu knacken, erhalten sie Zugriff auf Administratorebene auf den Kern des Linux-basierten BusyBox-Betriebssystems des Geräts. Die Forscher von VM brauchten 10 Minuten, um den Telnet-Service-Pass zu brechen. Als sie dort ankamen, stellten sie fest, dass sie Root-Zugriff erhalten hatten. Würden Cyberkriminelle einen solchen Zugang erhalten, könnten sie möglicherweise großen Schaden anrichten, wie zum Beispiel:

1. Löschen Sie eine schädliche Nutzlast
2. Bearbeiten Sie Audiostreams, Dateien und Ordner
3. Abrufen des WLAN-Passworts des Heim- oder Firmennetzwerks des Benutzers (vorausgesetzt, das Funkgerät hat eine Verbindung zu einem hergestellt, d. H.)
4. Verteilen Sie Ransomware und andere schädliche Skripte / Tools über das gefährdete Wi-Fi-Heim- / Firmennetzwerk.

Die oben genannten Gefahren weisen auf die Auswirkungen hin, die ein schwaches Kennwort im schlimmsten Fall haben kann. Aus diesem Grund ist die neu entdeckte Sicherheitsanfälligkeit jetzt in der Datenbank allgemeiner Sicherheitsanfälligkeiten unter CVE-2019-13473 verfügbar.

Was den Umfang der betroffenen Geräte angeht, ist es in der Tat so schlimm. Zum einen werden Imperial & Dabman Webradios von der Telestar Digital GmbH innerhalb Deutschlands vertrieben. Sie sind jedoch auch bei eBay und Amazon für internationale Privat- und Firmenanwender erhältlich.

Mit dem Administratorzugriff konnten Forscher eine weitere Sicherheitsanfälligkeit ausgraben

Nachdem die Forscher von VM über Port 23 Administratorzugriff erhalten hatten, stießen sie auf einen zweiten Fehler im integrierten AirMusic-Client der Geräte. Die fragliche Sicherheitsanfälligkeit (CVE-2019-13474) kann Remotecodeausführung ermöglichen, wenn sie ausgenutzt wird. Der AirMusic-Client verwendet mehrere Ports (80 bis 8080), um Befehle mit seinem Webdienst auszutauschen. Es stellte sich heraus, dass die Forscher eine Stunde brauchten, um die vollständige Kontrolle über die Web-Client-Kommunikation zu erlangen, einschließlich der Option, benutzerdefinierte Nachrichten per Live-Stream zu übertragen.

Ähnlich dem Mirai Botnet

Der Fehler in den Imperial & Dabman-Geräten ist auf einen schlecht geschützten Telnet-Port zurückzuführen. Ironischerweise ist das berüchtigte Mirai Botnet aus dem gleichen Grund aufgetaucht und hat das Bewusstsein für die IoT-Sicherheit oder deren Mangel geschärft. Die Telestar Digital GmbH hat bereits Maßnahmen ergriffen, um das Problem zu lösen. Der redundante Telnetd-Dienst ist nicht mehr aktiv. Manuelle Binär-Patches können zusätzlich zu einem Wi-Fi-fähigen Firmware-Update kostenlos von der Website des Händlers heruntergeladen werden.