TWEAKERS
Onderzoekers kraken dsl-modem KPN op afstand
Door Joost Schellevis, donderdag 11 april 2013
Twee onderzoekers hebben een kwetsbaarheid gevonden in een dsl-modem die in Nederland door KPN wordt uitgeleverd. De twee slaagden erin eigen code op het apparaat uit te voeren. KPN heeft inmiddels een firmware-update uitgerold waarin de bug wordt verholpen.
Onderzoekers Steven Ketelaar en Peter Geissler deden op de Hack in the Box-beveiligingsconferentie in Amsterdam uit de doeken hoe ze via de aanwezige embedded-webserver konden inbreken op de P-260-modem van Zyxel. Die modem wordt in Nederland onder meer door KPN, evenals providers die diensten via het KPN-netwerk aanbieden, zoals Telfort, aan consumenten uitgeleverd.
De onderzoekers ontdekten dat op de router een embedded webserver aanwezig is, die wordt gebruikt voor onderhoud. Bij modems die worden uitgeleverd aan KPN-klanten, bleek echter een testpagina aanwezig die kon worden misbruikt. De testpagina maakte het mogelijk om via een formulier input te versturen naar de router, waarna die werd getoond op een webpagina.
De onderzoekers gebruikten dat formulier om hun eigen code uit te voeren op het apparaat. Via return oriented programming, waarbij machinecode van software op een bepaalde manier achter elkaar wordt gezet om het uitvoeren van eigen instructies mogelijk te maken, werd een ssh-shell als achterdeur opengezet waarmee de onderzoekers als root konden inloggen op de router. Daardoor hadden de onderzoekers volledige controle over de router.
"De webserver en de testpagina stond open voor iedereen op het internet", zegt onderzoeker Ketelaar tegenover Tweakers. Volgens hem zouden providers de bewuste port op de router moeten afschermen van de rest van het internet; KPN deed dat niet. Wie verantwoordelijk is voor de routerbug, is onduidelijk. "Het is een configuratiefout. Eigenlijk is die testpagina alleen bedoeld voor testomgevingen", zegt Ketelaar. Mogelijk heeft KPN een fout gemaakt, maar het kan ook een probleem bij Zyxel zijn, of bij het bedrijf dat de bewuste embedded webserver heeft ontwikkeld, Allegro Software. Daardoor is onduidelijk of ook andere dsl-aanbieders dan KPN met het beveiligingsprobleem kampen.
De onderzoekers hebben na het ontdekken van de bug contact opgenomen met KPN, dat inmiddels een firmware-update heeft uitgerold naar haar klanten. De modems zijn automatisch gepatched en zouden daardoor niet meer kwetsbaar voor het beveiligingsprobleem moeten zijn. Was de bug niet verholpen, dan zouden kwaadwillenden bijvoorbeeld http-verkeer kunnen onderscheppen. Ook lieten Ketelaar en Geissler zien hoe ze op een ongepatchte router gesprekken konden onderscheppen die via een aan de router gekoppelde telefoon werden gevoerd.
Onderzoeker Geissler benadrukt dat de router een architectuur had die hen vreemd was: de router is gebaseerd op de mips-architectuur. "Maar dat houdt echte hackers niet tegen", zegt hij. Tijdens de presentatie van het beveiligingsprobleem kwamen twee medewerkers van KPN het podium op, die de onderzoekers feliciteerden met hun bevindingen en ze een t-shirt gaven met de opdruk: "I hacked KPN, and all I got was this lousy t-shirt."