Was Sicherheitsforscher aus Dänemark aufgespürt haben, hat den gewählten Namen "Cable Haunt" wahrlich verdient. Eine kritische Lücke in Chips von Broadcom betrifft zahlreiche Kabelmodems unterschiedlicher Hersteller. Infolge sollen alleine in Europa 200 Millionen Geräte – und somit die Netzzugänge der betroffenen User – gefährdet sein.

Spurensuche

Der Fehler ist dabei im Spektrumanalysator des Broadcom-Chips angesiedelt, der eigentlich dazu gedacht ist, das Modem vor Signalstörungen aus dem Kabel zu schützen. Dieser kann zwar prinzipiell nur aus dem lokalen Netzwerk angesprochen werden, über eine speziell präparierte Webseite, die via Websocket vom Browser der User eine Verbindung zum Modem aufnimmt, klappt dies aber auch von außen. Voraussetzung ist also, dass ein Angreifer zunächst einmal die Nutzer auf eine solche Webpage lockt. Danach geht es dann aber schnell: Mithilfe eines Buffer Overflows kann Schadcode auf das Modem eingebracht und zur Ausführung gebracht werden.

Die Möglichkeiten, die einem Angreifer anschließend zur Verfügung stehen, sind mannigfaltig. So ist etwa möglich, Man-in-the-Middle-Attacken durchzuführen oder die DNS-Server auszutauschen, um zu überwachen, was die Nutzer so ansurfen. Theoretisch wäre es zudem machbar, die Firmware des Geräts zu verändern oder gleich ganz zu tauschen. Updates können ebenso blockiert werden, wie die Eingliederung in ein Botnet möglich ist.

Details

Auf einer eigenen Webseite liefern die Sicherheitsforscher weitere Details. Daraus geht hervor, dass einige Internetprovider in Skandinavien die Lücke bereits geschlossen haben, während andere bisher noch nicht reagiert haben. Zudem variiert die Schwere des Problems von Hersteller zu Hersteller. Bei einigen ist der Zugriff auf das Modem ohne weitere Autorisierung möglich – etwa bei einzelnen Modems von Technicolor und Netgear – bei anderen braucht es Login-Daten – wo allerdings oft Standardpasswörter zum Einsatz kommen. Österreichische Netzanbieter sind nach derzeitigem Wissensstand offenbar nicht betroffen.

Wer selber prüfen will, ob das eigene Kabelmodem betroffen ist, für den haben die Forscher auch ein passendes Skript veröffentlicht, das einen Angriff ausprobiert, ohne anschließend Schaden anzurichten.

Einschätzung

Generell sei betont, dass die reale Gefahr bei all dem trotzdem begrenzt ist. Ein Angriff ist relativ komplex auszuführen, was auch Massenattacken verhindert. Generell ist es anzuraten auch das Kabelmodem – wenn möglich – mit einem eigenen Passwort zu sichern anstatt einfach Default-Werte zu verwenden. (Andreas Proschofsky, 14.01.2020)