Zwei italienische IT-Sicherheitsfachleute haben knapp 50 Fälle von angreifbaren Internet-Backbone-Routern entdeckt. Verwundbar sind diese autonomen Systeme durch uralte Web-Interfaces, die eigentlich zur Fehleranalyse dienen.
Die Sicherheitsforscher Luca Bruno und Mariano Graziano erklärten während ihrer Präsentation im Rahmen der am Sonntag zu Ende gegangenen Hackerkonferenz Def Con 22, dass knapp 50 der über das Border Gateway Protocol (BPG) verbundenen autonomen Systeme (AS) zu einem schwerwiegenden Problem werden könnten: Die von den AS-Betreibern zur Fehlerdiagnose der Backbone-Router genutzten Web-Anwendungen sind teilweise zehn Jahre und älter und voller Datenlecks.
Käme nur ein einzelner dieser Router unter die Kontrolle eines Angreifers, ließe sich damit schwerer Schaden anrichten: Als dem indonesischen IndosatAS im Frühjahr 2014 ein Konfigurationsfehler unterlief, konnten Teile der weltweiten Internetgemeinde stundenlang unter anderem nicht auf die Dienste des Bezahldienstleisters PayPal zugreifen. Betroffen war in erster Linie das CDN Akamai, zu dessen Kunden PayPal gehört.
Schwachstellen in der Glaskugel
Ein für ein zur Kontrolle von Backbone-Routern verwendetes sogenanntes „Looking Glass“
Bild: Xmodulo
Einfallstor selbst für wenig versierte kriminelle Hacker könnten den Forschern zufolge das sogenannte Looking Glass sein: Damit die Betreiber der Backbone-Router bei Störungen der Ursache schnell auf den Grund gehen können, lassen sie auf Webservern diese Software laufen. Das sind einfache Web-Interfaces, die über eine Anbindung ans interne Netzwerk des AS per ping
oder traceroute
prüfen, ob der Router funktioniert. Damit dies auch Administratoren bei anderen AS können, sind die Web-Schnittstellen frei über das Internet zugänglich.
Den Forschern zufolge basiert Looking-Glass-Software oft auf einfachen, in Perl oder PHP geschriebenen Web-Skripten, die im Root-Verzeichnis des Webservers liegen und per SSH oder Telnet direkt auf den Router zugreifen. Vier dieser Skripte ? Cougar LG (Perl), Cistron LG (Perl), MRLG (Perl) und MRLG4PHP (PHP) ? haben sie unter die Lupe genommen. Ergebnis: Die Administratoren der Looking-Glass-Server haben beispielsweise übersehen, CGI/mod_php/mod_perl zu aktivieren oder die Konfigurationsdateien sowie privaten SSH-Keys zu schützen.
Konfigurationsdateien im Klartext bei Google
Die Konfigurationsdateien liegen oft im Klartext vor und geben so beispielsweise die IP-Adresse des Routers, den zum SSH-/Telnet-Login notwendigen Nutzernamen sowie das Passwort preis. Selbst eine simple Google-Suche nach Schlagworten wie ?login telnet inurl:lg.conf?, die für das jeweilige Skript charakteristisch sind, förderte bereits diese Daten im Klartext zu Tage. Alternativ lassen sich die Dateien durch Aufruf des für sie typischen Pfads im Browser anzeigen ? wie zum Beispiel bei der Looking-Glass-Installation des CERN. Ob ein Angreifer mit den auf diesem Weg ausgelesenen Login-Daten tatsächlich so weitreichenden Zugriff auf den jeweiligen Router bekommt, konnten die Sicherheitsforscher nicht prüfen: Ein solcher Login wäre illegal. Nachdem aber verschiedene CERTs auf der ganzen Welt auf die Meldungen der Fachleute reagierten und Kontakt zu den Betreibern der Systeme aufnahmen, spricht vieles dafür.
Auch Cross-Site-Scripting-Bugs fanden die italienischen Experten. Durch deren Missbrauch lassen sich Cookies von den Servern klauen, die zum Login in andere Web-Anwendungen der Administratoren dienen. Als erheblich schwerwiegender stuften die Fachleute den Einsatz von unsicheren Drittanbieterkomponenten ein ? sie fanden beispielsweise ein seit Jahren nicht mehr gepflegtes Ping-Tool voller Bugs.
Die beiden Fachleute haben sämtliche in den Skripten gefundene Bugs an die jeweiligen Programmierer gemeldet. Diese haben die Fehler auch behoben. Ob die Betreiber der knapp 50 verwundbaren Looking-Glass-Systeme die Updates aber auch eingespielt haben, wissen die Hacker nicht. Sie haben vor ihrer Präsentation keinen erneuten Scan mehr gestartet und verlassen sich darauf, dass die beteiligten CERTs für Sicherheit sorgen. (Uli Ries) / (fab)