🔒 Compal CH7466CE Firewall Sicherheitslücke

Setup

  • Öffentliche IPv4 im Kabelnetz von Vodafone
  • Router: Compal CH7466CE
    • Firmware 4.50.19.12
  • Kein IPv6 (kann der Router nicht bei öffentlicher IPv4)

Symptom

Eine Port-Weiterleitungsregel die einmal aktiv war (Port 1194/udp) ist nicht mehr in der Liste der Freischaltungen zu sehen. Trotzdem kann man sich von außen auf den Port verbinden. Die Regel habe ich versucht neu anzuelgen und zu löschen, leider wird das Problem nicht behoben.

Das Verhalten ist in einem Video dokumentiert:

Please accept YouTube cookies to play this video. By accepting you will be accessing content from YouTube, a service provided by an external third party.

YouTube privacy policy

If you accept this notice, your choice will be saved and the page will refresh.

Reaktion von Vodafone

Ich habe versucht der Technik Hotline das Problem zu schildern, dort wurde mir beschieden, dass eine öffentliche IP immer ein Sicherheitsrisiko darstellt und ich solle mich doch an Compal (in Taiwan) wenden.

Danach habe ich eine Mail mit Screenshots an Vodafone geschickt, darauf gab es gar keine Reaktion.

Ich habe den Twitter Support kontaktiert, dort wurde wenigstens geantwortet, ich habe uach angeboten, das Video offline zu nehmen so lange an dem Problem gearbeitet wird, darauf wurde nicht eingegangen.

Erst durch das Vodafone Forum kam dann (nach Veröffentlichung des Videos) ein Kontakt mit einem Security Menschen zu stande.

Die gute Nachricht ist, dass man sich wohl mittlerweile ernsthaft mit dem Problem beschäftigt.

Schweregrad des Problems

Ich bin immer wieder von Nutzern konfrontiert worden, dass das Problem ja harmlos sei weil es ja nur einen Port betrifft.

Dem möchte ich widersprechen: Die Firewall ist essentiell dafür, dass das Heimnetz vom Internet getrennt ist. Da viele Geräte im Heimnetz sich selbst kaum schützen können kann man darauf nicht verzichten. Zudem weiß ich nicht wie tief das Problem sitzt. Eventuell sieht man hier nur die Spitze des Eisbergs und die Firewall hat ein generelles Problem Ports vernünftig zu blocken. Ich bin selbst niemand der hier Security Forschung betreiben kann. Es kann aber natürlich auch einfach nur ein Anzeigefehler in der GUI sein. In jedem Fall sollte das behoben werden. Ich möchte nicht darüber spekulieren müssen wie sicher mein Heminetz ist.

Lösung des Problems

Wie gesagt arbeitet Vodafone an der Behebung. Bisher gibt es keinen Patch, falls doch berichte ich hier darüber. Meine Lösung ist aktuell eine Fritz!Box cable.

[Update] Es gibt eine Lösung! Ein Werksreset behebt das Problem wahrscheinlich dauerhaft. Details dazu weiter unten.

 

Presse

Ich hatte vor Veröffentlichung Heise kontaktiert, aber nach einer Mail leider keine Reaktion mehr bekommen. Bisher wurde auf folgenden Seiten über das Problem berichtet:

Winfuture: Vodafone will schwere Lücke in seinem Kabel-Modem nicht schließen

Deskmodder: Sicherheitslücke in Firewall: Modems & Router von Vodafone unsicher 

thewhitehats: Kabel Deutschland und Vodafone

Ich aktualisiere diesen Blogeintrag und twittere wenn es was neues gibt.

[Update 03.05.2018]

Es gibt es Statement von Vodafone:

Sicherheit und Datenschutz haben bei Vodafone höchste Priorität. Wir bemühen uns, unsere Sicherheitsstandards stets den aktuellen Bedürfnissen anzupassen, und haben daher unverzüglich eine in den Medien genannte Schwachstelle bei Kabel-Modems überprüft. Die genaue Analyse hat ergeben, dass in der Grundkonfiguration der Kabel-Modems kein Port erreichbar bzw. offen ist. Wir befinden uns bereits im direkten Austausch mit dem genannten Kunden, um das genaue Szenario zu ermitteln und weitere Analysen durchzuführen.“

Den ersten Satz finde ich bei der Historie absolut vermessen. Außerdem passt man Sicherheitsstandards nicht an „Bedürfnisse“ an sondern an aktuell geltende Standards.

[Update 04.05.2018]

Vodafone und Compal nehmen sich gerade des Problems an. Ich habe den Compal CH7466CE angeschlossen, damit sich Vodafone Logs ziehen konnte. Das war übrigens der Grund warum ich mich die ganze Zeit gegen einen Werksreset gewehrt habe, dann wären die Logs weg gewesen. Aktuell kann wohl nicht nachvollzogen werden warum es zu dem Problem kommt.

Vodafone hat danach einen Werksreset durchgeführt über die Leitung nach Absprache mit mir. Weder ich noch Vodafone konnte vorher die Konfiguration sichern. Das heißt dann aber auch, dass ich nicht prüfen kann ob der Fehler sich erledigt hat oder nicht. Jedenfalls ist er nach dem Werksreset erstmal nicht mehr da. Da ich nicht weiß wann und wie er zu stande gekommen ist wird es schwer das jetzt noch zu reproduzieren.

Kleines Update:

Ich habe soeben mit einem Nutzer telefoniert, der exakt das Problem auch hatte. Auch im Vodafone Forum gibt es mehrere User die den gleichen Fehler beschreiben.

[Update 15.05.2018]

Das CPE Team von Vodafone hat das Problem schnell lokalisieren können. Der folgende Text stammt aus der Kommunikation die ich mit Vodafone hatte:

Der Fehler tritt auf, wenn eine Portweiterleitungsregel unter Verwendung der vorherigen Firmware 4.50.18.16 erstellt wurde und dann ein Firmware-Update auf die aktuelle Version 4.50.19.12 durchgeführt wird. Unter diesen Umständen zeigt sich das bekannte Fehlerbild: Die Portweiterleitungsregel wird in der GUI nicht mehr angezeigt, bleibt aber weiterhin aktiviert. Durch das Zurücksetzen des Gerätes in die Werkseinstellungen werden alle benutzerdefinierten Portweiterleitungsregeln gelöscht und somit der Fehler behoben. Durch weitere Tests konnte sichergestellt werden, dass Portweiterleitungsregeln, die unter der FW 4.50.19.12 erstellt wurden, bei einem FW-Update auf eine nachfolgende Version erhalten bleiben und in der GUI angezeigt werden.

Die Analyse durch den Hersteller hat ergeben, dass sich der Fehler zwischen den Firmware Versionen 4.50.18.16 und 4.50.19.12 eingeschlichen hat, als ein erkanntes Problem mit UPnP-generierten Portweiterleitungen auf derselben GUI-Seite behoben wurde. Durch die Änderung kam es zu dem bekannten Fehler, der leider in der Folge nicht entdeckt wurde. Als Maßnahme zur Qualitätssicherung wird daher ein entsprechender Testfall bei zukünftigen Abnahmetests durchgeführt werden.

So stelle ich mir eine professionelle Lösung vor! Das Problem kann ich soweit nachvollziehen, dass genau dieses Update bei mir gemacht wurde. In einem alten Video sieht man, dass ich genau diese Firmware auch hatte. Die Lösung ist also tatsächlich ein Werksreset. Da jetzt die Ursache auch bekannt ist, muss man sich wohl auch keine Sorgen machen, dass das Problem wieder auftritt.

[Update 28.05.2018] Bestechung

Aus Transparenzgründen: Als Dank für die Meldung des Fehlers habe ich eine 400Mbit/s Leitung vergünstigt bekommen. Jeder hat doch seinen Preis. Meiner liegt halt bei 400Mbit/s .

FAQ

Hier möchte ich mal ein paar Fragen beantworten die aufgekommen sind:

Warum hörst du nicht auf Vodafone und machst einen Werksreset?

Ein Werksreset würde alle „Spuren“ (Log Dateien und die Konfiguration) des Problems beseitigen. Hätte ich gleich einen Werksreset gemacht, hätte Vodafone nun keine Chance mehr dem Problem auf den Grund zu gehen. Am 4.5.2018 hat Vodafone (in Rücksprache mit mir) aus der Ferne einen Reset durchgeführt. Im Werkszustand ist der Port wieder geschlossen. Vorher wurden die Logs gesichert.

Warum reproduzierst du das Problem nicht?

Weil aktuell weder ich noch Vodafone wissen wann und wie das Problem auftritt.

Wieso machst du so einen Wind um das Problem?

Ich habe Vodafone angeboten das Video nicht zu veröffentlichen wenn sie sich des Problems in Ruhe annehmen wollen. Darauf wurde nicht eingegangen. Der Gang an die Öffentlichkeit war für mich der einzige Weg, das Problem so zu addresieren, das es am Ende Ernst genommen wird. Die Veröffentlichung ist denkbar schlecht und in dem Fall nur eine Notlösung.

Ist das „nur“ ein Anzeigebug?

Weiß ich nicht. Ist aber trotzdem Sicherheitsrelevant weil es einen geschlossenen Port vorgaukelt.

Ich habe die Windows Firewall was interessiert mich der Router?

In der Regel hat man mehrere Geräte im Heimnetz (Handy, Fernseher, IoT, …) wenn du dir sicher bist, dass alle eine aktuellen Firewall ohne Sicherheitslücken und mit SPI haben dann ist ja gut.

Wie häufig tritt das Problem auf?

Das Problem wurde schon im Oktober 2017 gemeldet. In dem Vodafone Thread findet man 3 unterschiedliche Kunden die das Problem beschreiben. Bei Winfuture hat ebenfalls ein Nutzer das Problem beschrieben. Ist also häufiger der Fall.

Warum behebt Vodafone das Problem nicht?

Das ist nicht (mehr) richtig. Nach Veröffentlichung des Videos scheint mir das Problem nun in kompetenten Händen zu sein und auch bei der richtigen Abteilung. Bitte nicht auf Vodafone rumhacken, die haben meiner Erfahrung nach noch einer der besseren Kundendienste die auch schnell reagieren. Viele Prozesse sind automatisiert und funktionieren gut. Nur wenn mal was neben der Spur passiert, wie in diesem Fall ist der Start etwas holprig.

Was sagt das Handbuch des Compal CH7466CE zu dem Problem?

Das Handbuch nimmt Bezug auf die Firewall:

Leistungsfähige Firewall schützt, für eine bessere Netzwerksicherheit, vor unerwünschten Attacken über das Internet. Unterstützt Statful Inspection, Einbruchserkennung, DMZ, Network Adress Translation (NAT) und Schutz vor Denial-of-Service (DoS) Attacken.

Weiterhin:

Es wird dringend empfohlen, dass die Firewall zum Schutz vor Angriffen ununterbrochen aktiviert bleibt.

Und im Kapitel Problemlösung:

Wenn die hier aufgeführten Lösungen das Problem nicht beheben, kontaktieren Sie bitte Ihren Dienstanbieter.
Bevor Sie Ihren Dienstanbieter anrufen, drücken Sie auf die Reset Taste an der Rückseite des CH7466CE. Bitte beachten Sie, das beim Drücken der Reset Taste sämtliche individuellen Einstellungen, einschließlich Firewall und Erweiterte Einstellungen gelöscht werden. Ihr Dienstanbieter könnte Sie nach dem Status der LEDs an der Vorderseite befragen; siehe LEDs an der Vorderseite und Fehlerbedingunen.

5 Kommentare zu „🔒 Compal CH7466CE Firewall Sicherheitslücke“

  1. Pingback: Sicherheitslücke in Firewall: Modems & Router von Vodafone unsicher | Deskmodder.de

  2. Pingback: Kabel Deutschland und Vodafone | The White-Hats

  3. Pingback: Sicherheitslücke in Firewall: Modems & Router von Vodafone unsicher [Update mit Statement] | Deskmodder.de

  4. Das ist keine Lücke im Router sondern Du solltest mal genau wissen was OpenVPN bzw. SSL VPN mit den Clients macht.
    1194 ist der Standard OpenVPN Port. Ist er nicht zu erreichen und Du hast UPNP trägt er den dort via z.B. Port 54xxx ein und macht ein Portforward auf 1194.

    Je nach Installation stößt der OpenVPN auch von sich aus via VPN Passtrough die Ports von innen auf.

    1. Selbstverständlich ist das eine Lücke. Das wurde mir auch von Kabel Deutschland bestätigt. Das hat nichts mit upnp zu tun. Ich habe die Weiterleitung manuell gemacht wie man im Video deutlich sehen kann.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Nach oben scrollen