­čöĺ Compal CH7466CE Firewall Sicherheitsl├╝cke

Setup

  • ├ľffentliche IPv4 im Kabelnetz von Vodafone
  • Router: Compal CH7466CE
    • Firmware 4.50.19.12
  • Kein IPv6 (kann der Router nicht bei ├Âffentlicher IPv4)

Symptom

Eine Port-Weiterleitungsregel die einmal aktiv war (Port 1194/udp) ist nicht mehr in der Liste der Freischaltungen zu sehen. Trotzdem kann man sich von au├čen auf den Port verbinden. Die Regel habe ich versucht neu anzuelgen und zu l├Âschen, leider wird das Problem nicht behoben.

Das Verhalten ist in einem Video dokumentiert:

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

Reaktion von Vodafone

Ich habe versucht der Technik Hotline das Problem zu schildern, dort wurde mir beschieden, dass eine ├Âffentliche IP immer ein Sicherheitsrisiko darstellt und ich solle mich doch an Compal (in Taiwan) wenden.

Danach habe ich eine Mail mit Screenshots an Vodafone geschickt, darauf gab es gar keine Reaktion.

Ich habe den Twitter Support kontaktiert, dort wurde wenigstens geantwortet, ich habe uach angeboten, das Video offline zu nehmen so lange an dem Problem gearbeitet wird, darauf wurde nicht eingegangen.

Erst durch das Vodafone Forum kam dann (nach Ver├Âffentlichung des Videos) ein Kontakt mit einem Security Menschen zu stande.

Die gute Nachricht ist, dass man sich wohl mittlerweile ernsthaft mit dem Problem besch├Ąftigt.

Schweregrad des Problems

Ich bin immer wieder von Nutzern konfrontiert worden, dass das Problem ja harmlos sei weil es ja nur einen Port betrifft.

Dem m├Âchte ich widersprechen: Die Firewall ist essentiell daf├╝r, dass das Heimnetz vom Internet getrennt ist. Da viele Ger├Ąte im Heimnetz sich selbst kaum sch├╝tzen k├Ânnen kann man darauf nicht verzichten. Zudem wei├č ich nicht wie tief das Problem sitzt. Eventuell sieht man hier nur die Spitze des Eisbergs und die Firewall hat ein generelles Problem Ports vern├╝nftig zu blocken. Ich bin selbst niemand der hier Security Forschung betreiben kann. Es kann aber nat├╝rlich auch einfach nur ein Anzeigefehler in der GUI sein. In jedem Fall sollte das behoben werden. Ich m├Âchte nicht dar├╝ber spekulieren m├╝ssen wie sicher mein Heminetz ist.

L├Âsung des Problems

Wie gesagt arbeitet Vodafone an der Behebung. Bisher gibt es keinen Patch, falls doch berichte ich hier dar├╝ber. Meine L├Âsung ist aktuell eine Fritz!Box cable.

[Update] Es gibt eine L├Âsung! Ein Werksreset behebt das Problem wahrscheinlich dauerhaft. Details dazu weiter unten.

 

Presse

Ich hatte vor Ver├Âffentlichung Heise kontaktiert, aber nach einer Mail leider keine Reaktion mehr bekommen. Bisher wurde auf folgenden Seiten ├╝ber das Problem berichtet:

Winfuture: Vodafone will schwere L├╝cke in seinem Kabel-Modem nicht schlie├čen

Deskmodder: Sicherheitslücke in Firewall: Modems & Router von Vodafone unsicher 

thewhitehats: Kabel Deutschland und Vodafone

Ich aktualisiere diesen Blogeintrag und twittere wenn es was neues gibt.

[Update 03.05.2018]

Es gibt es Statement von Vodafone:

ÔÇ×Sicherheit und Datenschutz haben bei Vodafone h├Âchste Priorit├Ąt. Wir bem├╝hen uns, unsere Sicherheitsstandards stets den aktuellen Bed├╝rfnissen anzupassen, und haben daher unverz├╝glich eine in den Medien genannte Schwachstelle bei Kabel-Modems ├╝berpr├╝ft. Die genaue Analyse hat ergeben, dass in der Grundkonfiguration der Kabel-Modems kein Port erreichbar bzw. offen ist. Wir befinden uns bereits im direkten Austausch mit dem genannten Kunden, um das genaue Szenario zu ermitteln und weitere Analysen durchzuf├╝hren.ÔÇť

Den ersten Satz finde ich bei der Historie absolut vermessen. Au├čerdem passt man Sicherheitsstandards nicht an „Bed├╝rfnisse“ an sondern an aktuell geltende Standards.

[Update 04.05.2018]

Vodafone und Compal nehmen sich gerade des Problems an. Ich habe den Compal CH7466CE angeschlossen, damit sich Vodafone Logs ziehen konnte. Das war ├╝brigens der Grund warum ich mich die ganze Zeit gegen einen Werksreset gewehrt habe, dann w├Ąren die Logs weg gewesen. Aktuell kann wohl nicht nachvollzogen werden warum es zu dem Problem kommt.

Vodafone hat danach einen Werksreset durchgef├╝hrt ├╝ber die Leitung nach Absprache mit mir. Weder ich noch Vodafone konnte vorher die Konfiguration sichern. Das hei├čt dann aber auch, dass ich nicht pr├╝fen kann ob der Fehler sich erledigt hat oder nicht. Jedenfalls ist er nach dem Werksreset erstmal nicht mehr da. Da ich nicht wei├č wann und wie er zu stande gekommen ist wird es schwer das jetzt noch zu reproduzieren.

Kleines Update:

Ich habe soeben mit einem Nutzer telefoniert, der exakt das Problem auch hatte. Auch im Vodafone Forum gibt es mehrere User die den gleichen Fehler beschreiben.

[Update 15.05.2018]

Das CPE Team von Vodafone hat das Problem schnell lokalisieren k├Ânnen. Der folgende Text stammt aus der Kommunikation die ich mit Vodafone hatte:

Der Fehler tritt auf, wenn eine Portweiterleitungsregel unter Verwendung der vorherigen Firmware 4.50.18.16 erstellt wurde und dann ein Firmware-Update auf die aktuelle Version 4.50.19.12 durchgef├╝hrt wird. Unter diesen Umst├Ąnden zeigt sich das bekannte Fehlerbild: Die Portweiterleitungsregel wird in der GUI nicht mehr angezeigt, bleibt aber weiterhin aktiviert. Durch das Zur├╝cksetzen des Ger├Ątes in die Werkseinstellungen werden alle benutzerdefinierten Portweiterleitungsregeln gel├Âscht und somit der Fehler behoben. Durch weitere Tests konnte sichergestellt werden, dass Portweiterleitungsregeln, die unter der FW 4.50.19.12 erstellt wurden, bei einem FW-Update auf eine nachfolgende Version erhalten bleiben und in der GUI angezeigt werden.

Die Analyse durch den Hersteller hat ergeben, dass sich der Fehler zwischen den Firmware Versionen 4.50.18.16 und 4.50.19.12 eingeschlichen hat, als ein erkanntes Problem mit UPnP-generierten Portweiterleitungen auf derselben GUI-Seite behoben wurde. Durch die ├änderung kam es zu dem bekannten Fehler, der leider in der Folge nicht entdeckt wurde. Als Ma├čnahme zur Qualit├Ątssicherung wird daher ein entsprechender Testfall bei zuk├╝nftigen Abnahmetests durchgef├╝hrt werden.

So stelle ich mir eine professionelle L├Âsung vor! Das Problem kann ich soweit nachvollziehen, dass genau dieses Update bei mir gemacht wurde. In einem alten Video sieht man, dass ich genau diese Firmware auch hatte. Die L├Âsung ist also tats├Ąchlich ein Werksreset. Da jetzt die Ursache auch bekannt ist, muss man sich wohl auch keine Sorgen machen, dass das Problem wieder auftritt.

[Update 28.05.2018] Bestechung

Aus Transparenzgr├╝nden: Als Dank f├╝r die Meldung des Fehlers habe ich eine 400Mbit/s Leitung verg├╝nstigt bekommen. Jeder hat doch seinen Preis. Meiner liegt halt bei 400Mbit/s .

FAQ

Hier m├Âchte ich mal ein paar Fragen beantworten die aufgekommen sind:

Warum h├Ârst du nicht auf Vodafone und machst einen Werksreset?

Ein Werksreset w├╝rde alle „Spuren“ (Log Dateien und die Konfiguration) des Problems beseitigen. H├Ątte ich gleich einen Werksreset gemacht, h├Ątte Vodafone nun keine Chance mehr dem Problem auf den Grund zu gehen. Am 4.5.2018 hat Vodafone (in R├╝cksprache mit mir) aus der Ferne einen Reset durchgef├╝hrt. Im Werkszustand ist der Port wieder geschlossen. Vorher wurden die Logs gesichert.

Warum reproduzierst du das Problem nicht?

Weil aktuell weder ich noch Vodafone wissen wann und wie das Problem auftritt.

Wieso machst du so einen Wind um das Problem?

Ich habe Vodafone angeboten das Video nicht zu ver├Âffentlichen wenn sie sich des Problems in Ruhe annehmen wollen. Darauf wurde nicht eingegangen. Der Gang an die ├ľffentlichkeit war f├╝r mich der einzige Weg, das Problem so zu addresieren, das es am Ende Ernst genommen wird. Die Ver├Âffentlichung ist denkbar schlecht und in dem Fall nur eine Notl├Âsung.

Ist das „nur“ ein Anzeigebug?

Wei├č ich nicht. Ist aber trotzdem Sicherheitsrelevant weil es einen geschlossenen Port vorgaukelt.

Ich habe die Windows Firewall was interessiert mich der Router?

In der Regel hat man mehrere Ger├Ąte im Heimnetz (Handy, Fernseher, IoT, …) wenn du dir sicher bist, dass alle eine aktuellen Firewall ohne Sicherheitsl├╝cken und mit SPI haben dann ist ja gut.

Wie h├Ąufig tritt das Problem auf?

Das Problem wurde schon im Oktober 2017 gemeldet. In dem Vodafone Thread findet man 3 unterschiedliche Kunden die das Problem beschreiben. Bei Winfuture hat ebenfalls ein Nutzer das Problem beschrieben. Ist also h├Ąufiger der Fall.

Warum behebt Vodafone das Problem nicht?

Das ist nicht (mehr) richtig. Nach Ver├Âffentlichung des Videos scheint mir das Problem nun in kompetenten H├Ąnden zu sein und auch bei der richtigen Abteilung. Bitte nicht auf Vodafone rumhacken, die haben meiner Erfahrung nach noch einer der besseren Kundendienste die auch schnell reagieren. Viele Prozesse sind automatisiert und funktionieren gut. Nur wenn mal was neben der Spur passiert, wie in diesem Fall ist der Start etwas holprig.

Was sagt das Handbuch des Compal CH7466CE zu dem Problem?

Das Handbuch nimmt Bezug auf die Firewall:

Leistungsf├Ąhige Firewall sch├╝tzt, f├╝r eine bessere Netzwerksicherheit, vor unerw├╝nschten Attacken ├╝ber das Internet. Unterst├╝tzt Statful Inspection, Einbruchserkennung, DMZ, Network Adress Translation (NAT) und Schutz vor Denial-of-Service (DoS) Attacken.

Weiterhin:

Es wird dringend empfohlen, dass die Firewall zum Schutz vor Angriffen ununterbrochen aktiviert bleibt.

Und im Kapitel Probleml├Âsung:

Wenn die hier aufgef├╝hrten L├Âsungen das Problem nicht beheben, kontaktieren Sie bitte Ihren Dienstanbieter.
Bevor Sie Ihren Dienstanbieter anrufen, dr├╝cken Sie auf die Reset Taste an der R├╝ckseite des CH7466CE. Bitte beachten Sie, das beim Dr├╝cken der Reset Taste s├Ąmtliche individuellen Einstellungen, einschlie├člich Firewall und Erweiterte Einstellungen gel├Âscht werden. Ihr Dienstanbieter k├Ânnte Sie nach dem Status der LEDs an der Vorderseite befragen; siehe LEDs an der Vorderseite und Fehlerbedingunen.

5 Kommentare zu ÔÇ×­čöĺ Compal CH7466CE Firewall Sicherheitsl├╝ckeÔÇť

  1. Pingback: Sicherheitsl├╝cke in Firewall: Modems & Router von Vodafone unsicher | Deskmodder.de

  2. Pingback: Kabel Deutschland und Vodafone | The White-Hats

  3. Pingback: Sicherheitsl├╝cke in Firewall: Modems & Router von Vodafone unsicher [Update mit Statement] | Deskmodder.de

  4. Das ist keine L├╝cke im Router sondern Du solltest mal genau wissen was OpenVPN bzw. SSL VPN mit den Clients macht.
    1194 ist der Standard OpenVPN Port. Ist er nicht zu erreichen und Du hast UPNP tr├Ągt er den dort via z.B. Port 54xxx ein und macht ein Portforward auf 1194.

    Je nach Installation st├Â├čt der OpenVPN auch von sich aus via VPN Passtrough die Ports von innen auf.

    1. Selbstverst├Ąndlich ist das eine L├╝cke. Das wurde mir auch von Kabel Deutschland best├Ątigt. Das hat nichts mit upnp zu tun. Ich habe die Weiterleitung manuell gemacht wie man im Video deutlich sehen kann.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht ver├Âffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr dar├╝ber, wie deine Kommentardaten verarbeitet werden.

Nach oben scrollen