Skip to content


Sicherheitsschwachstelle in AON Modems

ACHTUNG: Dieser Artikel bezieht sich auf eine Version die möglicherweise bereits upgedated wurde. Desweiteren ist mittlerweile neue Hardware im Umlauf.

 Kurzfassung

ei den Speedtouch Adsl Modems der Telekom Austria existiert im MultiUser Betrieb eine Hintertür, welche möglicherweise eine Sicherheitsschwachstelle darstellen kann. Dank modifizierter Firewalleinstellungen ist es für Mitarbeiter der Telekom Austria möglich, von bestimmten Wartungsrechnern, auf das Modem zuzugreifen. Diese Funktion ist nur durch eine IP-Überprüfung gesichert. Zusätzlich verschärft wird das Problem dadurch, dass standardmäßig kein Passwort für den Zugriff auf das Modem gesetzt ist. Allerdings hat dieser (von außen kommende) User standardmäßig keinerlei Zugriffsrechte. Ein Ausnutzen der Lücke ist damit wohl nur schwer möglich.

Diese Hintertür zu schließen ist nur mittels einer manuellen Änderung der Konfigurationsdatei des Modems möglich.

Hintergrund


Die Telekom Austria AG liefert für ihre Aon Internet und IP/TV (Aon TV) Produkte Adsl Modems des Herstellers Alcatel/Thompson aus.

Es handelt sich hierbei in letzter Zeit vorallem um die Modelle Speedtouch 546 v6 sowie Speedouch 585. Beide Modelle haben in etwa den selben Funktionsumfang, wobei das Speedtouch 585 auch als Wlan Accespoint dient.

Im weiteren wird hier nur das Speedtouch 546 v6 besprochen, da das Speedtouch 585 durch die Wlanfunktionalität über eine kompliziertere Konfigurationsdatei verfügt. Die hier beschriebene Sicherheitslücke ist aber auch in diesen Modems vorhanden.


Betriebsmodi


Alle Modems der Telekom Austria können im Single als auch im MultiUser Modus betrieben werden.

Single User bedeutet, dass das Speedtouch lediglich als Modem verwendet wird, wobei die Einwahl direkt vom PC des Benutzers erfolgt. Diese Betriebsart wird im weiteren nicht behandelt. Es ist nicht klar, ob auch in diesem Modus die besprochene Sicherheitslücke auftritt.

Im MultiUser Betrieb wählt sich das Speedtouch selbst ein und stellt die Internetverbindung über einen integrierten Router allen angeschlossenen PCs zur Verfügung. Der MultiUser Betrieb ist auch die Voraussetzung für AonTV, da direkt am Modem auch die Fernseh- SetTopbox angeschlossen wird.
Im MultiUser Betrieb können gleichzeitig mehrere PCs über denselben (Internet)Anschluss mit dem Internet verbunden werden und durch die eingebauten Router und Firewall sorgt der MultiUserbetrieb auch für mehr Sicherheit als der SingleUser Betrieb.

NAT ermöglicht es (dies macht prinzipiell den Router aus), dass nur solche Verbindungen ins lokale Netz (LAN) zugelassen werden, welche von einem PC aus ebendiesem LAN initiert wurden. Das NAT übersetzt die Anfragen aus dem lokalen Netz (genauergesagt die lokalen IP Adressen) in im Internet verständliche Anfragen. Dies ist notwendig, da nur eine global gültige IP Adresse pro Internetanschluß vergeben wird, aber in einem lokalen Netzwerk sich durchaus mehrere PCs befinden können.
Dabei führt das NAT ein Liste, die sicherstellt, dass die Antworten aus dem Internet auf Anfragen einzelner PCs im lokalen Netz auch an den richtigen PC weitergeleitet werden. Anfragen und Antworten aus dem Internet für die kein Eintrag in der NAT Liste gefunden werden kann werden verworfen.
So wird etwa durch das Aufrufen einer Internet Seite im NAT ein (kurzeitig gültiger) Eintrag erstellt, welcher dafür sorgt, dass die Internetseite an den richtigen (aufrufenden) PC weitergeleitet wird.
Die eingebaute Firewall verwirft, ähnlich wie Personal Firewalls am PC, unbekannte und unangeforderte Pakete und Verbindungen.

Eingestellt wird der MultiUserbetrieb über den auf der Aon CD mitgelieferten Modem Konfigurator, da es nicht möglich ist gewisse Einstellungen über das Webinterface durchzuführen. Dieser lädt eine Konfigurationsdatei in das Modem, welche alle notwendigen Einstellungen setzt. Über einen Webbasierten Zugang kann der User nun auf das Modem zugreifen und die gesetzte Konfiguration verändern bzw. überprüfen.

In der Standardkonfiguration ist die eingebaute Firewall aktiv und sollte nur Verbindungen zulassen, welche aus dem LAN initiert wurden.
Soweit die Theorie.


Sicherheitsschwachstelle

Die Telekom Austria hat allerdings in diese Konfigurationsdatei eine Art Hintertür eingebaut. Diese Hintertür sollte wohl Mitarbeitern der Telekom Austria ermöglichen, auf das Modem zuzugreifen. Die Absicherung erfolgt dabei nur über eine Überprüfung der IP Adresse.
Standardmässig ist kein Passwort für den Zugriff auf das Modem gesetzt (kann allerdings durch den User eingestellt werden). Allerdings besitzt ein User der vom WAN (also über das Internet) zugreift standardmässig keinerlei Zugriffsrechte., was das Ausnutzen dieser Hintertür stark erschweren dürfte.

Im folgenden wird die Schwachstelle genauer erläutert. Prinzipiell sind alle Einstellungen auch über eine Telnet Verbindung zum Modem abrufbar, die Konfigurationsdatei des Modems liefert aber alle Informationen viel übersichtlicher. Die Konfigurationsdatei des Modems kann über das Webinterface auf den PC gesichert werden..
Hiezu klickt man im Webinterface auf der linken Seite auf die Rubrik Speedtouch / Konfiguration. Nun erscheint ein Link um die aktuelle Konfiguration zu Sichern bzw Zurückzuspielen.
Auf der folgenden Seite kann die Konfigurationsdatei auf den PC gesichert werden.


Konfigurationsdatei


ACHTUNG! Die Konfigurationsdatei enthält viele Einstellungen die man nicht verändern sollte, wenn man nicht genau über deren Funktion informiert ist.
Falsche Einstellungen können unter anderem dazu führen, dass das Internet nicht mehr erreichbar ist,
AonTV nicht mehr funktioniert, der PC keine IP Adresse mehr erhält…

Die Konfigurationsdatei ist in einzelne thematische Abschnitte unterteilt.

Am Ende der Datei, im Abschnitt [ firewall ] sind folgende Einträge zu finden:

[ firewall.ini ]
config state=enabled keep=disabled tcpchecks=exact udpchecks=enabled icmpchecks=enabled logdefault=disabled logthreshold=enabled tcpwindow=65536
debug traceconfig tcpchecks=disabled udpchecks=disabled icmpchecks=disabled sink=none forward=none source=none
chain add chain=sink_oam
chain add chain=source_oam
chain add chain=forward_oam
rule add chain=sink index=1 clink=sink_oam log=disabled state=enabled action=link
rule add chain=forward index=1 clink=forward_oam log=disabled state=enabled action=link
rule add chain=source index=1 clink=source_oam log=disabled state=enabled action=link
rule add chain=source_fire index=1 name=AnyTraffic log=disabled state=enabled action=accept
rule add chain=forward_level_BlockAll index=1 name=AnyTraffic log=disabled state=enabled action=drop
rule add chain=forward_level_Standard index=1 name=FromLAN srcintf=lan log=disabled state=enabled action=accept
rule add chain=forward_level_Disabled index=1 name=AnyTraffic log=disabled state=enabled action=accept
rule add chain=sink_oam index=1 name=accept_oam_tkd srcip=tkd_oam_ip log=disabled state=enabled action=accept
rule add chain=source_oam index=1 name=accept_oam_tkd dstintf=wan dstip=tkd_oam_ip log=disabled state=enabled action=accept

Interessant sind dabei folgende Zeilen:
rule add chain=forward index=1 clink=forward_oam log=disabled state=enabled action=link
rule add chain=source index=1 clink=source_oam log=disabled state=enabled action=link
rule add chain=sink_oam index=1 name=accept_oam_tkd srcip=tkd_oam_ip log=disabled state=enabled action=accept
rule add chain=source_oam index=1 name=accept_oam_tkd dstintf=wan dstip=tkd_oam_ip log=disabled state=enabled action=accept

Damit werden zusätzliche Firewallregeln definiert, die unabhängig von den im Webinterface eingestellten Level eine Verbindungsaufnahme zum Modem aus dem Internet erlauben.
Alle Verbindungen aus dem Ip Bereich, der in tkd_oam_ip definiert sind, werden immer zugelassen.

Welcher Ip Bereich dies genau ist, ist weiter oben im Abschnitt [ expr.ini ] definiert:

[ expr.ini ]

add name=tkd_oam_ip type=ip addr=62.47.95.[230-239]


Eine kurze Anfrage in der Whois Datenbank liefert für diese Adressen (62.47.95.230 – 62.47.95.239) den technischen Service der Telkom Austria. Es ist daher für Mitarbeiter der Telekom Austria, unabhängig von den Firewalleinstellungen des Webinterfaces, jederzeit möglich (von oben genannten Ip-Adressen) auf das Modem zuzugreifen.


Mögliche Abhilfe


Achtung! Es wird für eventuelle Schäden bzw. Funktionslosigkeit oder andere Nebenwirkungen keine Haftung bzw. Garantie übernommen.
Eine Sicherung der originalen unveränderten Konfigurationsdatei sollte in jedem Fall erstellt werden um den Ausganszustand wiederherstellen zu können.

Eine Kopie der Konfigurationsdatei öffnet man mit einem Editor und entfernt folgende Einträge:

In der [ expr.ini ] die Zeile:

add name=tkd_oam_ip type=ip addr=62.47.95.[230-239]

In der [ firewall.ini ] die Zeilen:

rule add chain=forward index=1 clink=forward_oam log=disabled state=enabled action=link
rule add chain=source index=1 clink=source_oam log=disabled state=enabled action=link
rule add chain=sink_oam index=1 name=accept_oam_tkd srcip=tkd_oam_ip log=disabled state=enabled action=accept
rule add chain=source_oam index=1 name=accept_oam_tkd dstintf=wan dstip=tkd_oam_ip log=disabled state=enabled action=accept

Danach kann die modifizierte Konfigurationsdatei über das Webinterface ins Modem hochgeladen werden.
Nun funktioniert die Firewall wieder so wie im Webinterface eingestellt.

Fazit


Bei den Speedtouch Adsl Modems der Telekom Austria existiert im MultiUser Betrieb eine Hintertür, welche möglicherweise eine potentielle Sicherheitsschwachstelle darstellen kann. Dank modifizierter Firewalleinstellungen ist es für Mitarbeiter der Telekom Austria möglich von bestimmten Wartungsrechnern auf das Modem zuzugreifen. Diese Funktion ist nur durch eine IP-Überprüfung gesichert. Zusätzlich verschärft wird das Problem dadurch, dass standardmäßig kein Passwort für den Zugriff auf das Modem gesetzt ist. Allerdings hat dieser User standardmäßig keinerlei Zugriffsrechte. Ein Ausnutzen der Lücke ist damit wohl nur schwer möglich.


2 Responses

Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.

  1. Chris says

    Kenne die Filter-Syntax nicht, aber heißt die Zeile

    rule add chain=forward index=1 clink=forward_oam log=disabled state=enabled action=link

    dass die auf die Rechner hinter dem Router zugreifen können?

    • Ich says

      Ich denke nicht, dass heißt lediglich, dass die Firewall die Pakete durchlässt. Am NAT vorbeizukommen dürfte dann doch etwas schwieriger sein…



Some HTML is OK

or, reply to this post via trackback.