News
04.10.2019, 10:00 Uhr
UPC: Sicherheitslücke bei Standard-Routern aufgetaucht
Bei der sogenannten Connect Box, einem Router-Modell der UPC, gab es offenbar eine Sicherheitslücke, die UPC verschwiegen hat. Nun sei das Problem aber gelöst.
Wie Blick berichtet, sei bei der Connect Box, die als Router von einer halben Million Schweizer UPC-Kunden genutzt wird, eine schwerwiegende Sicherheitslücke aufgetaucht. Über das Web-Interface ist es möglich, gewisse Befehle wie Ping oder Traceroute auszuführen. Damit lassen sich Netzwerkverbindungen mit anderen Hosts testen. Soweit, so problemlos. Die gleichen Befehle werden dementsprechend vom Router über dessen Linux-System ausgeführt. Und hier sitzt das Problem: Die Web-Oberfläche sei zwar passwortgeschützt, die Schnittstelle, über die besagte Befehle ausgeführt werden, verfügte aber über keine Absicherung. So sei es möglich gewesen, weitere Shell-Befehle anzuhängen, die der Router anschliessend mit Systemrechten ausführt.
Entdeckt hat das Problem ein Informatikstudent mit dem Pseudonym Xitan. Dieser sagt, dass es zwar eine Filterfunktion gebe, welche diese Anhängsel verhindern solle, diese aber vom Browser und nicht vom Router wahrgenommen werde. Werde die entsprechende Schnittstelle direkt angesteuert, sei der Filter leicht zu umgehen.
UPC Schweiz hat gegenüber Blick aber betont, dass diese Sicherheitslücke schon vor einigen Wochen bei sämtlichen betroffenen Connect Boxen mit einem Update gefixt worden sei. Ein Zutun des Nutzers sei zur Installation des Patches nicht nötig gewesen.
05.10.2019