WLAN-Sicherheitslücke im Speedport W 921V, W 504V und W 723V

Telekom-Kunden, die den WLAN-Router W 921V nutzen, können sich über ein schickes Hintertürchen freuen, welches das WLAN für jeden potentiellen Interessenten zugänglich macht. Mit anderen Worten: die Geräte sind sperrangelweit offen. (hier der Link zur Diskussion im Telekom-Forum, der dort veröffentlichte Standard-PIN wurde mittlerweile aus dem Beitrag gelöscht)

Ausgeliefert werden die Geräte mit einem vorkonfigurierten WPA2-Schlüssel, soweit nichts ungewöhnliches. WPS per PIN ist in der Grundkonfiguration abgeschaltet, aktiv ist lediglich die Push-Button-Methode (man betätigt einen kleinen Schalter auf der Rückseite des Geräts und WPS wird kurzzeitig aktiviert). Zumindest wird dem Benutzer das so in den Einstellungen angezeigt. Scheinbar sicher also.

In Wahrheit jedoch ist WPS via PIN immer aktiv, unabhängig von den Einstellungen, selbst wenn WPS komplett abgeschaltet wurde. Zudem funktioniert auf allen Geräten ein einheitlicher Standard-PIN, vollkommen egal, welcher PIN konfiguriert wurde. Und dieser Standard-Pin für die W921v lässt sich ziemlich easy per Google herausfinden. Jetzt wird nur noch ein WPS-fähiges WLAN-Gerät benötigt welches ein Tool für die WPS-PIN-Methode mitliefert, beim Verbindungsaufbau die Standard-PIN eingeben und binnen weniger Sekunden ist die schöne WPA2-Verschlüsselung hinfällig, man ist im WLAN. Und dafür wird nicht einmal Know How benötigt. Ein Firmware-Update ist noch nicht verfügbar, einzige Lösung bisher: WLAN deaktivieren.

Laut Golem sind die Speedports W 504V und W 723V von einem ähnlichen Problem betroffen, hier soll allerdings das Deaktivieren von WPS ausreichen. Prüft das aber besser selbst noch einmal, wenn Ihr eins dieser Geräte einsetzt.

Update: Die Telekom hat inzwischen die Beta eines Firmware-Updates für den Speedport W 921v bereit gestellt. Damit soll die beschriebene Lücke beseitigt werden.

Tags: , , , , , , ,

Zugangsdaten aus dem Speedport W 500V auslesen

Was tun, wenn man die Zugangsdaten seines Internetproviders verlegt hat und einfach nicht wieder auffinden kann?

Ich stand vor exakt diesem Problem: Ich wollte bereits seit geraumer Zeit meinen Speedport W 500V (das schöne Telekom-Modell) ersetzen. Kein integrierter Switch, WLAN-Probleme beim Einsatz von Windows 7 usw., da musste was geändert werden. Konnte ich aber nicht, da ich seit einiger Zeit die Unterlagen mit den Zugangsdaten für T-Online vermisse und nicht wieder finden kann. Blöd. Ohne Passwort geht nix.

Natürlich gibt es die Möglichkeit, mir neue Zugangsdaten zusenden zu lassen, klar. Aber ich habe mir sagen lassen: Das dauert ein paar Tage und in dieser Zeit ist der Zugang tot. Auch keine Alternative, ein paar Tage ohne Internet? Geht mal gar nicht… 😉

Das Ganze hat mir allerdings keine Ruhe gelassen und heute Morgen habe ich mich auf die Suche gemacht. Die Aussagen in den Foren ähnelten sich verblüffend: Geht nicht, alles verschlüsselt im ROM abgelegt, kommt man nicht dran. Glücklicherweise ist diese Aussage falsch…

Richtig ist: Mit der Standard-Firmware geht es definitiv nicht. Man hat keinerlei Möglichkeit, an die auf dem Router gespeicherten Daten zu kommen, das Gerät ist abgeriegelt.

Abhilfe schafft hier eine modifizierte Firmware. Gefunden habe ich diese im Forum DSLTeam.de. Die Firmware des W 500V ist Open Source, demzufolge ist der Einsatz rechtlich m.E. OK, wenn allerdings wahrscheinlich die Garantie des Gerätes beim Einsatz einer modifizierten Firmware erlischt.

Wichtig: Bei dem Austausch der Firmware kann unter Umständen etwas schief gehen, was, mit etwas Pech, den Router lahm legen kann! Es ist also Vorsicht geboten. Nur weil es bei mir und anderen funktioniert hat, muss es das nicht zwingend auch bei Euch. Lest Euch auf jeden Fall vor dem flashen die Informationen zu der modifizierten Firmware durch, vor allem auch, welche Router kompatibel sind.  Und in jedem Fall solltet Ihr wissen, was ihr tut! Wer auf seinem Router noch nie ein Update eingespielt hat, sollte die Finger davon lassen! Wer mit meinen folgenden Beschreibungen nicht viel anfangen kann, experimentiert besser auch nicht herum.

Ja, die Hinweise sind wichtig, ich möchte keinesfalls dafür verantwortlich sein, wenn Ihr Euch Euren Router plättet. Sinnvollerweise zieht Euch VOR dem Update noch einmal die Original-Version des ROMs und haltet sie für den Fall bereit, dass etwas schief geht. Sollte der Router nach dem Update nicht wieder an den Start kommen (erkennbar daran, dass man nicht mehr auf die Administrationsoberfläche gelangt) und es auch nicht hilft, das Gerät mal vom Strom zu trennen und neu booten zu lassen, dann gibt es zumindest eine Rettungsmöglichkeit: Der Router startet dann in einem Not-Modus, in dem er unter der IP-Adresse 192.168.1.1 (nicht, wie im Handbuch beschrieben, die 192.168.2.1) einen Webserver zum flashen bereit hält. In diesem Fall dann die Adresse des eigenen PCs fest auf 192.168.1.10 konfigurieren, per Browser die 192.168.1.1 aufrufen und dann hier das Originale ROM einspielen.

Wir gehen nun einfach mal davon aus, dass das Update (wie bei mir) geklappt hat. Was bringt uns das nun?

Die modifizierte Firmware erlaubt im Gegensatz zum Original den Zugriff per Telnet/SSH auf den Router, was uns eine Vielzahl mehr Möglichkeiten bietet, als von der Weboberfläche bereit gestellt werden. Telnet und SSH sind übrigens nur LAN-seitig aktiv, keine Sorge also.
Verbindet Euch nun per Telnet oder SSH mit dem Router. Der Benutzername zur Anmeldung ist in jedem Fall root, das Kennwort ist exakt das gleiche, welches ihr auch für die Konfiguration mittels Browser verwendet. Klappt die Anmeldung, dann seht ihr eine simple Raute als Prompt.

Die Anmeldeinformationen für den konfigurierten Internetzugang findet Ihr in der Datei /var/psi.xml. Anzeigen kann man diese beispielsweise mit Hilfe des in der modifizierten Firmware enthaltenen Editors vi. Also schlicht am Prompt folgenden Befehl eingeben: vi /var/psi.xml. Innerhalb der Datei könnt Ihr nun mit den Cursortasten navigieren.
Da die Variablen, in denen die Zugangsdaten gespeichert werden, je nach Provider unterschiedlich sind, kann ich Euch zum Auffinden dieser nur folgenden Tipp geben: Sucht gezielt in der Datei nach den Teilen der Zugangsdaten, die Euch noch bekannt sind. Beispielsweise der Benutzername steht in der Weboberfläche in Klartext im Formular. Finden werdet Ihr diese Information dann ziemlich am Ende des Dokuments, ebenfalls in Klartext. In der gleichen Zeile findet Ihr dann unmittelbar davor oder dahinter die Euch fehlenden Daten. In Klartext, bis auf das Kennwort. Dieses ist verschlüsselt abgelegt. Macht aber nix, das Passwort ist lediglich BASE64-verschlüsselt. Kopiert es Euch also einfach und ruft im Browser die folgende Seite auf: Base 64 Decoder. Fügt das verschlüsselte Kennwort hier ein, klickt auf „Decode“ und Bingo. Nun solltet Ihr die Zugangsdaten wieder komplett vorliegen haben.

Bei mir hat das beschriebene hervorragend funktioniert. Nachdem ich einmal festgestellt hatte, wo die Daten gespeichert sind, war es nur noch eine Sache von wenigen Minuten. Und somit konnte ich dann heute nun endlich einen neuen Router an den Start bringen und schreibe diesen Beitrag auf meinem Notebook mit einem endlich wieder funktionierenden WLAN. 😉

Tags: , , , , , ,