WLan Forum
|
| Wardriving, Scannen & Security |
| ⇔ Antworten ↑ Themen Übersicht ⇒ Forum Übersicht |
| :: Sicherheitslücke bei DLink 900AP+ und anderen! | Verfasser |
23.10.02 00:35
Achtung:
In den letzten Tagen wurde eine schwerwiegende Sicherheitslücke in einigen AccessPoints entdeckt, so auch im DWL-900AP+. Betroffen sind Geräte, welche von der Firma 'Global Sun Tech' (  http://www.globalsuntech.com ) als OEM Produkt (Modelle der Reihe GL2422) gefertigt und unter verschiedenen Marken verkauft werden, u.a. von DLink, 4MBO (der Plus AccessPoint), Linksys (WAP11 V2.2).
Problem:
Obwohl nicht dokumentiert, ist in der Firmware dieser Router ein TFTP-Server vorhanden, über welchen kritische Daten ausgespäht werden können. Ein Angreifer kann mittels TFTP auf eine Datei namens 'config.img' im Router/AccessPoint zugreiffen. Diese Datei enthält unter anderem das Passwort für den Admin-Zugang per Webseite, die WEP-Keys sowie Netzwerkadressen, SSID, etc.
Lt. Advisory besteht das Problem beim DLink 900AP+ sowohl bei Firmware v2.1 und v2.2
Ausführliche Meldung (englisch) unter: http://mobileaccess.de/portal/modules.php?name=News&file=article&sid=141&mode=&order=0&thold=0
Offensichtlich sind mittels TFTP auch die Firmware selbst und diverse andere Daten des APs auslesbar. Daher könnte es möglich sein, die Firmware anderer Hersteller aufzuspielen. So etwa die DLink-Firmware auf das Gerät von Plus/4MBO. Vielleicht kann ja jemand hier über seine Erfahrungen schreiben :-)
Diverse TFTP-Clients für Windows sind u.a. unter http://www.download.com zu finden. | dk
467 Beiträge
 |
23.10.02 00:48
Nachtrag:
Entsprechende TFTP-Client Software gibt es z.B. unter http://www.walusoft.co.uk/download.htm | dk
467 Beiträge
|
23.10.02 08:36
Moin dk.
Hast Du zufaellig die URL zu der originalen Meldung parat?
cu, otaku | otaku42
798 Beiträge
|
05.11.02 08:06
Bei Bugtraq kam vor kurzem eine weitere Meldung ueber Sicherheitsluecken im GlobalSunTech GL2422AP-0T, der auch von OEM-Kunden wie D-Link, Linksys und anderen eingesetzt wird.
Wenn man ein Boardcast-Paket an den UDP-Port 27155 schickt, das die Zeichenkette "gstsearch" enthaelt, liefert der Access Point die Liste der eingetragenen WEP-Schluessel, die MAC Filter Liste und das Admin-Passwort zurueck. Dabei spielt es keine Rolle, ob das Paket ueber das WLAN oder das LAN geschickt wird.
Ein Exploit fuer diesen Bug existiert, einen Link auf den Source werde ich gleich nachreichen.
cu, otaku | otaku42
798 Beiträge
|
05.11.02 08:39
Nachtrag zum vorhergegangenen Posting von mir:
Die Originalmeldung bei Bugtraq findet sich hier:
http://online.securityfocus.com/archive/1/298432/2002-11-02/2002-11-08/2
Eine Entwarnung fuer den DWL-614+ gibts hier:
http://online.securityfocus.com/archive/1/298494/2002-11-02/2002-11-08/2
Der Linksys WAP11 v2.2 scheint nicht alle Informationen zurueckzuliefern:
http://online.securityfocus.com/archive/1/298496/2002-11-02/2002-11-08/2
cu, otaku | otaku42
798 Beiträge
|
05.11.02 10:43
Noch eine Ergaenzung, diesmal zum Posting von dk:
D-Link USA hat gestern eine neue Firmware-Version (v2.30) fuer den DWL-900AP+ freigegeben, die das beschriebene Sicherheits-Problem mit dem integrierten TFTP-Server scheinbar behebt. Zu finden unter:
http://support.dlink.com/products/view.asp?productid=DWL-900AP+
cu, otaku | otaku42
798 Beiträge
|
05.11.02 14:23
Von wegen Entwarnung.
Auch der DI-614+ ist betroffen. Bei unseren getesteten Geräten (v2.03) ist es problemlos möglich, diese Dateien per TFTP zu ziehen!
Auf Wunsch schreibe ich hier gerne ein kleines HowTo :-) | dk
467 Beiträge
|
05.11.02 14:29
Die Entwarnung fuer den 614+ bezog sich auf das Problem mit dem UDP-Port 27155. Sorry fuer die Verwirrung, vielleicht haette ich den zweiten Report besser als eigenen Thread "ausgelagert". Naja, jetzt ist es zu spaet.
Der Vorschlag mit der Howto ist gut, go for it. :) | otaku42
798 Beiträge
|
08.11.02 15:49
Update:
Unter http://mobileaccess.de/wlan/index.html?go=technik steht jetzt ein entsprechendes Tool zum download bereit. Damit lassen sich die Parameter (Password, WEP-Keys, MAC-Adressen) der betroffen AccessPoints auslesen. | dk
467 Beiträge
|
08.11.02 18:12
Moin,
ich habe da mal zwei Fragen. Die erste Frage wäre, ob der Download der Datei pong.zip bei anderen klappt - bei mir jedenfalls nicht.
Die andere Frage wäre, ob wir hier über zwei Sicherheitslücken sprechen. Der TFTP und der Broadcast, der auch im Heise Newsticker heute gemeldet wurde..
gruss
Volker | Volker Harms
3 Beiträge
|
08.11.02 18:56
Das Tool bezieht sich auf den UDP-Exploit.
Diverse TFTP-Clients und Server gibt es bereits genug zum kostenlosen Download im Netz. z.B. unter:
http://www.weird-solutions.com/product/tftpc2000.html
http://www.walusoft.co.uk/products.htm bzw.
http://www.walusoft.co.uk/download.htm | dk
467 Beiträge
|
08.11.02 22:05
@Volker: als Ergaenzung zum Beitrag von dk: ja, wir reden hier von zwei verschiedenen Sicherheitsluecken.
1. Firmware v2.x, x<3 ermoeglicht, die Konfiguration mit Hilfe eines TFTP-Clients ohne Schutzmassnahme auszulesen.
2. Access Point antwortet auf UDP-Pakete "gstsearch" fuer den Port 27155 mit sicherheitsrelevanten Daten wie WEP-Schluessel, Admin-Username und Admin-Passwort.
Fuer Problem 1 ist mittlerweile Abhilfe in Form der Firmwareversion 2.3 verfuegbar, fuer Problem 2 gibts derzeit noch keine Loesung (weder in Form eines workarounds noch in Form eines Bugfixes in der Firmware).
cu, otaku | otaku42
798 Beiträge
|
09.11.02 18:11
Moin,
danke für die Antwort. Ich hätte gerne gehört, ob andere 900AP+ Nutzer den Exploit mit der Firmware 2.3 vom 29ten Oktober verifizieren können. Bei mir schlägt er fehl! Mein Gerät basiert laut Aufkleber an der Unterseite auf Hardware (H/W?) B1, obwohl das ja bei einem Firmware Bug nicht relevant sein sollte.
Gruss
Volker | Volker Harms
3 Beiträge
|
10.11.02 10:48
Bei meinem Access Point steht auch die B1 auf der geräteunterseite und der Exploit funktioniert auch nicht. Hat jemand ne Idee warum? | Kirsche
1 Beitrag
|
10.11.02 16:36
Moin.
Der Grund, warum der erste Exploit nicht funktioniert, ist in diesem Bugtraq-Posting erklaert:
http://online.securityfocus.com/archive/1/299021/2002-11-02/2002-11-08/2
Die Antwort, die vom Access Point geliefert wird, ist anders aufgebaut, als es vom Exploit-Programm erwartet wird. Daher kommt bei manchen APs entweder keine oder eine sinnlose Ausgabe raus.
Ich vermute mal, dass dk (wie wir auch) die erste Exploit-Version compiliert hat. Mittlerweile gibts zwei oder drei andere Versionen. Ich werde versuchen, dies ebenfalls compiliert zum Download anzubieten. Kann aber bis morgen dauern, bevor ich die Files fertig habe.
cu, otaku | otaku42
798 Beiträge
|
10.11.02 16:53
tach
also ick hab das DI-614+ hier
und kein firmeware patch drauf
und hab die prog.s mal durch getestet und konnte nicht in mein netz rein
mach ich was falsch ? (nicht das mich das stört;) | Jim
5 Beiträge
|
10.11.02 17:37
@Jim: was meinst Du mit "reinkommen"? Wenn Du Dich darauf beziehst, dass Du keine Antwort von einem AP bekommst: wahrscheinlich ist der DI-614+ nicht anfaellig fuer diesen Bug. Allerdings ist das noch nicht 100% bestaetigt. dk hat zwar in der Bugtraq-Liste geschrieben, dass der 614+ sehr wohl anfaellig ist, hat sich dabei aber auf den TFTP-Bug bezogen. | otaku42
798 Beiträge
|
11.11.02 17:39
Version 1.1 ist jetzt online.
Neu: Mit der -r Option lassen sich jetzt zusätzlich alle Rohdaten anzeigen. | dk
467 Beiträge
|
11.11.02 18:43
@dk: Vorschlag: kannst Du den Source beifuegen, damit man besser beurteilen kann, was man da eigentlich ausfuehrt? Auch waere hilfreich zu erfahren, welche Version des Exploits Du beruecksichtigst (sprich: ob auch andere Antworten als die des originalen GlobalSunTech APs "verstanden" werden, wie beispielsweise die des DWL-900AP+)
cu, otaku | otaku42
798 Beiträge
|
12.11.02 08:56
Hallo zusammen,
ich mache die ersten Gehversuche mit meinem neuen D-Link AP 900+.
Der Exploit v1.1 liefert mit der -r Option den Benutzernamen und das Passwort *schreck* über LAN. Benutze Firmware 2.3.
Frage: Ich benutze die Mac- Adressen-Filterung, um nur bestimmte Cards zugreifen zu lassen. Ist das ein ausreichender Schutz gegen Angriffe über das WLan?
Gruß | Peter
29 Beiträge
|
12.11.02 10:56
@alle: bin ich jetzt komplett neben der Kappe? Der von mir weiter oben genannte Link auf die Firmware-Version 2.30 fuer den DWL-900AP+ ist bei dlink.com nicht mehr zu finden. Weder ueber den regulaeren Weg mit den Dropdown-Menues, noch ueber die Produktliste ist v2.3 zu finden. Weiss jemand, warum D-Link diese Firmware-Version scheinbar wieder zurueckgezogen hat?
@Peter:
Das Problem ist, dass man die MAC-Adressen bei Funkkarten (wie auch bei den meisten "normalen" Netzwerkkarten) beliebig aendern kann. Somit ist es fuer einen Angreifer moeglich, sich trotz MAC-Filter Zugang zum Access Point zu verschaffen, wenn er herausgefunden hat, welche MAC-Adressen durch den Filter kommen. Der Zeit-Aufwand und das noetige Knowhow, der dazu noetig ist, stellt einen wirkungsvollen Schutz gegen Script-Kiddies dar. Einen ambitionierten Cracker, der was von seinem Handwerk versteht und ausreichend motiviert ist, wird dieses Hindernis in relativ kurzer Zeit ueberwinden koennen.
Zur Zeit hat das 22 Mbit-Equipment noch einen zusaetzlichen "Schutzbonus" dadurch, dass die Funkkarten in den gaengigen Tools fuer solche Angriffe nicht unterstuetzt werden. Es ist aber nur eine Frage der Zeit, bis auch diese Luecke geschlossen wird - Trendware hat noch fuer den November Linux-Treiber fuer die 22 Mbit-Karten angekuendigt, die dann vermutlich auch mit Produkten anderer Hersteller zusammen laufen werden.
cu, otaku | otaku42
798 Beiträge
|
12.11.02 12:56
Danke für die Antworten.
Die Firmware ist auf de FTP- Server noch drauf:
ftp://ftp.dlink.com/Wireless/DWL900AP+/Firmware/
Gruß | Peter
29 Beiträge
|
15.11.02 08:34
Moin, Moin,
Ich hab 'nen D-link 614+, Firmware 2.03g.
pong sagt: no answer
das heisst ich hab keine Sicherheitslücke, oder ?
Gruss
Gunnar | gunnar
4 Beiträge
|
19.11.02 13:38
@gunnar: Du kannst ja sicherheitshalber nochmal den gstset-Explot ausprobieren. Infos dazu gibts unter http://forum.dylanic.de/viewtopic.php?t=249, das Programm kann unter http://www.planet-wireless.de/downloads/index.html#gstset runtergeladen werden.
cu, otaku | otaku42
798 Beiträge
|
18.07.04 18:23
Hi.
Kann es sein, das das pong.exe programm nicht mit integrierten wlan´s bei laptops zusammenarbeitet??
Wenn ich dass Programm starte kommt immer
C:\>pong.exe -r
WLAN exploit program V1.1
Binary gently provided by http://mobileaccess.de/
no answer
oder mache ich was falsch?? | Brunken
1 Beitrag
|
20.10.04 13:32
Du solltest schon die IP angeben wenn Du das Programm startest!
z.B.:
pong.exe -r 192.168.0.1
Die Sicherheitslücke is aber inzwischen schon nen alter Hut!
Wie Du siehst stammt der thread aus dem Jahr 2002... | hackO
20 Beiträge
|
20.10.04 13:34
Und ich antworte auf nen drei Monate altes Posting, auch gut | hackO
20 Beiträge
|
| ⇔ Antworten ↑ Themen Übersicht ⇒ Forum Übersicht |
home