Sicherheitslücken in „Mango“ Routern entdeckt

Ende April veranstaltete das Offensive Security Team einen internen Hacking-Abend mit Pizza und kühlen Getränken. Im Rahmen dieses Events untersuchten wir verschiedene Geräte und Softwarelösungen auf Schwachstellen. Eines der getesteten Geräte war der beliebte „Mango“-Router der Firma GL.iNet. Dieser Router wird unter anderem dafür eingesetzt, den eigenen Laptop in potenziell unsicheren Netzwerken (z.B. öffentliches WLAN am Flughafen, in Hotels oder in Cafés) vor direkten Angriffen zu schützen und/oder eine verschlüsselte VPN-Verbindung aufzubauen.

Im Ergebnis konnten vier Sicherheitslücken gefunden werden, welche im Anschluss mit detaillierten Fehlerbeschreibungen und Behebungsmaßnahmen an den Hersteller gemeldet wurden. Innerhalb von ca. drei Wochen wurden die Fehler behoben. Am 1. August veröffentlichte  GL.iNet ein Security Advisory,  in welchem den Fehlern öffentliche Schwachstellennummern ( „Common Vulnerabilities and Exposures“-Einträge, oder kurz CVE) zugewiesen wurden. Da der Hersteller zwei der Fehler zu einer Schwachstelle zusammengefasst hat, sind es in Summe drei CVEs. Neben dem „Mango“-Router selbst betrafen die gefundenen Schwachstellen alle zu dem Zeitpunkt unterstützten Router von GL.iNet.

Die Schwachstellen selbst wurden mittels Reverse-Engineering – also dem „Zurückentwickeln“ – der als Maschinencode vorliegenden Webserver-Anwendungen ermittelt. Dabei wird versucht, den originalen Quelltext, wie er von den Entwicklern geschrieben wurde, zu ermitteln. Anschließend wurde der so rekonstruierte Quellcode nach Programmierfehlern, welche zu potenziellen Sicherheitslücken führen könnten, untersucht.

CVE-2024-39226  beschreibt eine fehlende Eingabeüberprüfung im „s2s“-Interface, welches zur Konfiguration des Echoservers verwendet wird. So ist es einem authentifizierten Nutzer möglich, mittels manipulierter Web-Aufrufe eigene Befehle einzuschleusen, welche dann vom Router mit root-Rechten ausgeführt werden.

CVE-2024-39227  beschreibt zum einen eine fehlende Zugriffsprüfung, wodurch unauthentifizierte Angreifer Zugriff auf die „gl-rpc“-Schnittstelle erhalten. Zusätzlich wurde eine fehlende Eingabeüberprüfung in dieser Schnittstelle festgestellt, wodurch mittels „Path Traversal“ beliebige Bibliotheken geladen werden können.

CVE-2024-39228  beschreibt eine fehlende Eingabeüberprüfung in der „check_ovpn_client_config“-Schnittstelle. Mittels manipulierter Dateinamen können authentifizierte Angreifer eigene Befehle einschleusen, welche dann beim Prüfen dieser Dateien vom Router mit root-Rechten ausgeführt werden.

Wollen Sie die Sicherheit Ihrer eingebetteten Systeme  prüfen lassen? Sprechen Sie uns gerne an.