Veröffentlicht am 29. Januar 2019
Überraschenderweise ist der häufigste Dienst, den wir bei unseren Scans auf Censys finden, das CPE WAN Management Protocol (CWMP) - ein Protokoll, von dem viele Leute noch nie gehört haben. CWMP, auch bekannt als TR-069, läuft auf dem TCP-Port 7547 unter Verwendung von HTTP als Anwendungsschichtprotokoll und ermöglicht Internetdienstanbietern die Fernkonfiguration von Kundenendgeräten (CPE) wie Kabelmodems und Heimroutern. Es überrascht nicht, dass es in Breitbandnetzen auf der ganzen Welt weit verbreitet ist. Insgesamt gibt es mehr als 20 Millionen Geräte, allerdings nicht nur Modems, sondern auch an so überraschenden Orten wie Druckern, Kameras und sogar einem einzelnen Solarpanel.
Dies ist nicht neu, wie dieser SANS-Artikel aus dem Jahr 2016 zeigt. Überraschend ist jedoch, dass CWMP trotz dieser bekannten Probleme weiterhin dem Internet ausgesetzt ist. Was wir hätten erwarten können, ist die zunehmende Filterung des CWMP-Verkehrs durch ISPs an der Netzwerkgrenze.
Da CWMP eines der am weitesten verbreiteten Protokolle im Internet ist, haben wir uns Gedanken über die Sicherheit des Protokolls und die damit verbundenen Risiken gemacht. Gibt es echte Risiken für die Unternehmenswelt oder ist dies nur ein Problem der Verbrauchertechnologie?
Welche Sicherheitsrisiken birgt das CWMP?
Die administrative Macht, die CWMP gewährt, ist der Hauptgrund dafür, dass es ein solches Sicherheitsrisiko und ein begehrtes Ziel darstellt. Es ist so konzipiert, dass der ISP Netzwerkeinstellungen wie DNS-Server konfigurieren kann, aber unsichere Implementierungen können es Angreifern ermöglichen, beliebige Software herunterzuladen und auszuführen. Bei der Entwicklung von CWMP wurde zwar davon ausgegangen, dass nur Verbindungen aus vertrauenswürdigen Quellen möglich sind, aber Fehlkonfigurationen in großem Umfang bedeuten, dass Internetdienstanbieter die Netze ihrer Kunden oft unbeabsichtigt gefährden. Das Internet als Ganzes ist dann anfällig für Denial-of-Service-Angriffe, Spam-Operationen und ähnliche Taktiken, wenn Angriffssoftware in den Kundennetzen installiert wird.
Das CWMP-Protokoll wurde mit Hilfe des Mirai-Botnets und des Fehlers "The Misfortune Cookie" für Angriffe auf Heimrouter verwendet. Während die Angriffe nicht auf Schwachstellen im CWMP-Protokoll selbst zurückzuführen waren, konnten die Angreifer CWMP-Konfigurations- und Implementierungsfehler sowie alte, veraltete Versionen ausnutzen. Das ursprüngliche Protokoll verwendet einen HTTP-basierten Dienst für die Fernverwaltung, der sowohl anfällig als auch von Natur aus unsicher ist. Leider war die Lösung nicht so einfach wie das Schließen des Ports, was noch mehr Probleme verursachen könnte, sondern die Benutzer wurden aufgefordert, ihre Modems zu aktualisieren.
Was kann man gegen anfällige CWMP-Protokolle tun?
Die "Lösung" für diese Probleme besteht in der Installation von Firmware-Updates, die die meisten Modemhersteller inzwischen herausgegeben haben. TR-069 Ausgabe 2 hat "verbesserte Gerätesicherheit" hinzugefügt und sollte zum Standard für Heimanwender werden.
Natürlich bleibt die Frage, wie viele Verbraucher sich dieser Schwachstellen bewusst sind und ihre Heim-Modems neu starten, geschweige denn Firmware-Updates installieren. (Ein kollektiver Seufzer)
Suche nach CWMP mit Censys
Sicherheitsexperten empfehlen wir einen Internet-Scan, um CWMP-Protokolle zu finden, die mit Ihrem Unternehmen in Verbindung gebracht werden können. Höchstwahrscheinlich handelt es sich dabei um Mitarbeiter, die aus der Ferne arbeiten und Ihr VPN umgehen, ohne zu wissen, dass sie ein anfälliges Modem zu Hause benutzen. Machen Sie sie ausfindig und schränken Sie den Zugriff auf Ihre Unternehmensressourcen und Ihr Netzwerk ein. Schulen Sie dann Ihre Mitarbeiter, wie sie das VPN verwenden und dass es die einzige Möglichkeit ist, auf ihre Arbeitsanwendungen zuzugreifen. Wenn Sie einen Schritt weiter gehen wollen (und dabei möglicherweise die Augen verdrehen), schlagen Sie dem/den Mitarbeiter(n) vor, das Modem neu zu starten und alle Updates zu installieren.
Interessante Ergebnisse und Berichte für Forscher
Wir empfehlen, mit den Berichten von Censys über das CWMP-Protokoll zu beginnen, um die Trends im Internet zu analysieren. Nachfolgend sind ein paar Beispiele aufgeführt:
- Da CWMP HTTP als Transportprotokoll auf der Anwendungsebene verwendet, können Sie sich die serverseitige Software ansehen. Ein kurzer Blick auf diesen Bericht zeigt, dass das Open-Source-Paket gSOAP Version 2.7 dominiert, was besonders besorgniserregend ist. Im Juli dieses Jahres schrieb Brian Krebs über eine Schwachstelle in gSOAP, diees Angreifern ermöglicht, "ein anfälliges Gerät dazu zu zwingen, bösartigen Code auszuführen, den Besitzer daran zu hindern, Videomaterial anzusehen, oder das System zum Absturz zu bringen". Er fügte hinzu: "Im Grunde genommen gibt es viele Dinge, die Sie nicht wollen, dass Ihr teures Sicherheitskamerasystem etwas tut".
- Die 25 wichtigsten Länder mit CWMP-Protokollbericht
- Die 25 wichtigsten Produkte, die den CWMP-Bericht verwenden
Übrigens, haben wir mit Ihnen schon über unsere Berichte gesprochen? Der Berichtsersteller kann ein sehr leistungsfähiges Werkzeug für diejenigen sein, die nach Sicherheitsanomalien suchen. Mit ihm können Sie schnell Auffälligkeiten (IoT-Geräte usw.) ausfindig machen und diese Hinweise nutzen, um mit unseren verfeinerten Suchanfragen tiefer zu graben. Um sie zu verwenden, klicken Sie auf die Registerkarte Bericht auf der Seite mit den Suchergebnissen (siehe Abbildung oben), nachdem Sie eine Abfrage ausgeführt haben. Die Berichtserstellung ist oft ein hervorragender Ausgangspunkt für Ihre Suche, um bemerkenswerte unerwartete Hosts herauszufiltern und Prioritäten zu setzen, was Sie zuerst angehen müssen.
Weitere Ratschläge zu interessanten, potenziellen Sicherheitsrisiken, auf die Sie achten und die Sie entsprechend absichern sollten, folgen in Kürze.