Schwachstelle in ZyXEL-Routern immer noch akut...

Von eo am 18.03.08 7:59 | | Kommentare (0) | TrackBacks (0)

Wie ich auf diesen Blogeintrag komme? Ganz einfach: Ein russicher Spammer ist momentan der einzige der es Tag für Tag schafft (besser gesagt Nacht für Nacht), meine Spam-Abwehr in Movable Type zu umgehen. Dabei ist das Schema immer das Gleiche. Es finden sich immer nur zwei bis drei Wörter in jedem Eintrag und jedes heißt "google". Der Spameintrag sieht dann meist wie folgt aus:

google google google

Schaut man aber mal dahinter, so kann man erkennen, dass diese Wörter eigentlich Links zu irgendwelchen dubiosen Angeboten sind:

<a href=" http://fow1.iespana.es/5.html ">google</a>
<a href=" http://fow4.iespana.es/5.html ">google</a>
<a href=" http://fow3.iespana.es ">google</a>

Achtung ! ! !: Bitte den Links nicht folgen, da sich die PopUps nicht schließen lassen und der Internet Explorer zum Beispiel sie nicht mit seinem integriertem PopUp-Blocker erkennt)

Ein kurzer Blick auf die IPs (62.33.12.34 und 62.33.12.10) verrät woher der Übeltäter kommt: Geliebtes Mütterchen Russland oder besser gesagt hier der RIPE-Eintrag wenn man ein Whois auf 62.33.12.10 macht:

% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '62.33.12.0 - 62.33.13.255'

inetnum:         62.33.12.0 - 62.33.13.255
netname:         WESTCOM1-NET
descr:           (SP000006) JSC WESTCOM,
descr:           Pskov, Russia
country:         RU
admin-c:         VVL19-RIPE
tech-c:          EVF1-RIPE
status:          ASSIGNED PA 
mnt-by:          TRANSTELECOM-MNT
source:          RIPE # Filtered

person:          VLADIMIR V LUKSHAYTIS
address:         JSC Westcom
address:         21/33, Paromenskaja str.,
address:         180001, Pskov, Russia
phone:           +7 8112 443946
fax-no:          +7 8112 443196
e-mail:          vvl@sinaps.ru
nic-hdl:         VVL19-RIPE
source:          RIPE # Filtered

person:          Evgeny V Fartushny
address:         Commercial Bank Pskovbank
address:         45, Rigsky pr.
address:         Pskov Russia
phone:           +7 8112 441510
fax-no:          +7 8112 441510
e-mail:          john@pskovbank.pskov.su
nic-hdl:         EVF1-RIPE
source:          RIPE # Filtered

% Information related to '62.33.0.0/20AS20485'

route:           62.33.0.0/20
descr:           RU-TRANS-TELECOM
descr:           Moscow
origin:          AS20485
mnt-by:          TRANSTELECOM-MNT
source:          RIPE # Filtered

% Information related to '62.33.0.0/16AS20485'

route:           62.33.0.0/16
descr:           RU-TRANS-TELECOM
descr:           Superaggreagate
origin:          AS20485
mnt-by:          TRANSTELECOM-MNT
source:          RIPE # Filtered 

Natürlich findet sich hier nirgendwo ein Eintrag, wohin man eigentlich seine Abuse-Mails schicken darf. Also versucht man das Problem natürlich auf andere Weise zu lösen. Ein Port-Scan verrät, dass die Ports 21, 23 und 80 offen sind. Dann sieht man sich selbstverständlich erstmal die Webseite an, die zu dieser IP gehört. Und siehe da, man bekommt die Login-Box zu einem "ZyXEL Prestige 660RU-T1"...

Nach kurzer Recherche, bin ich dann über diesen Artikel gestolpert, der eine Schwachstelle in den ZyWall-Produkten von ZyXEL aus dem Jahre 2004 beschreibt. Dadurch ist es einem externen Angreifer möglich, vollen Zugriff auf den Router zu erlangen, in dem er ein eigenes Skript ausführt.

Möglicherweise ist genau das dem User hinter dieser IP-Adresse passiert ist. Eine Abuse-Mail habe ich vorsichtshalber mal an die obigen Mail-Adressen geschickt. Die Prestige-Router sind nämlich neueren Datums und die alte Schwachstelle sollte sich hier nicht mehr ausnutzen lassen. Wenn doch dann dürfte ZyXEL aber ein Problem haben (und der User auch).

Allerdings finde ich es erschreckend wieviele ZyWALL-Zugänge man über Google (Suchbegriff "rpAuth.html") findet. Circa 15 Stück konnte ich auf Anhieb finden, die wahrscheinlich alle noch mit alter Firmware laufen und deshalb potenzielle Gefahrenträger sind...

Hier nochmal der Link zu dem Artikel:
http://www.tecchannel.de/sicherheit/bedrohungen/424038/

Der Wikipedia-Eintrag zu der Angriffsmethode "Cross-Site-Scripting":
http://de.wikipedia.org/wiki/Cross-Site_Scripting

Die ZyXEL-Webseite mit der Produktfamilie die mit alter Firmware kritisch sein dürfte:
http://www.zyxel.com/web/product_category.php?PC1indexflag=20040908175941

Kategorien

Google , Hacking , Internet

Tags

0 TrackBacks

Folgende Einträge anderer Blogs beziehen sich auf den Eintrag Schwachstelle in ZyXEL-Routern immer noch akut...

TrackBack-URL dieses Eintrags: http://www.undertec.de/mt-cgi/mt-tb.cgi/72

Jetzt kommentieren

Über diese Seite

Diese Seite enthält einen einen einzelnen Eintrag von eo vom 18.03.08 7:59.

Telefon-Spam: Bestellte Scherzanrufe aus dem Internet ist der vorherige Eintrag in diesem Blog.

OldVersion.com - Auf der Suche nach alten Programm-Versionen ist der nächste Eintrag in diesem Blog.

Aktuelle Einträge finden Sie auf der Startseite, alle Einträge in den Archiven.

Dezember 2011

So Mo Di Mi Do Fr Sa
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
Etter EDV- und IT-Dienstleistungen
Powered by Movable Type 5.04

Suchen:

Feed:

Feed abonnieren Feed dieses Blogs abonnieren

Google Werbung:

kostenloser Counter