15 Jahre TecChannel - der beliebteste Artikel im Jahr 2009

Millionen DSL-Router hochgradig gefährdet

CSRF-Angriff auf das interne Netz

Die bislang demonstrierten Sicherheitslücken waren gegen Server gerichtet, die sich im frei zugänglichen Internet befinden. Das Hinterhältige an einem CSRF-Angriff ist jedoch, dass die Aktion immer vom Browser eines unwissenden Opfers ausgeht und somit dessen Rechte besitzt. Dadurch sind von außen gesteuert jederzeit Angriffe auf Rechner im Intranet möglich. Diese sind normalerweise weniger gut geschützt, da die Administratoren davon ausgehen, nur interne Mitarbeiter hätten darauf einen Zugriff und die normale Firewall würde externe Attacken abblocken.

Durch die Firewall: Da das Opfer hinter der Firewall sitzt, ist auch ein Angriff auf das interne Netz möglich.
Durch die Firewall: Da das Opfer hinter der Firewall sitzt, ist auch ein Angriff auf das interne Netz möglich.

Wie das Diagramm zeigt, ändert sich am prinzipiellen Vorgehen beim CSRF-Angriff auf das interne Netzwerk gar nichts. Der Firmenmitarbeiter an seinem Arbeitsplatz greift auf eine manipulierte externe Seite zu. Darin ist ein Image mit einer Adresse eines firmeninternen Servers eingebunden. Beim Laden des vermeintlichen Bildes löst der Browser dann Aktionen auf dem Server, der eigentlich durch die Firewall von außen gar nicht zugänglich ist.

Jetzt stellt sich natürlich die Frage, woher ein externer Angreifer Details wie lohnende Server, deren darauf laufende Web-Anwendung und zudem noch die IP-Adresse im internen Netz kennen sollte. Eine Möglichkeit ist die Rache eines entlassenen Mitarbeiters, der sein Insiderwissen preisgibt oder ausnutzt.

Ein weitaus einfacheres Ziel ist aber ein DSL-Router. Die Fritz!Box beispielsweise steht millionenfach in deutschen Haushalten und kleinen Büros, ist im internen Netz immer unter fritz.box erreichbar, und die darauf laufende Web-Anwendung ist für jeden einfach analysierbar. Im Folgenden dienen die AVM-Router lediglich als Beispiel, da diese in Deutschland weit verbreitet sind. Selbstverständlich sind auch alle anderen DSL-Router, die per Web-Interface konfiguriert werden, potenzielle Opfer – sofern die Hersteller keinen wirksamen Schutz implementiert haben. In unseren Tests konnten wir beispielsweise den Cisco/Linksys WAG 160 N und einen ZyXEL P-660HW über den gleichen Weg angreifen.