EV3 mit WLAN anfällig für Telnet-Wurm

EV3, NXT, Tetrix, Wedo... NXT-kompatible Zweit/Drittanbieter...

Moderator: Moderatoren

Benutzeravatar
Sunny Spider
Schreibt ab und zu
Schreibt ab und zu
Beiträge: 25
Registriert: 14. Mai 2013 19:56

EV3 mit WLAN anfällig für Telnet-Wurm

Beitragvon Sunny Spider » 20. Jan 2016 14:22

Heise Security berichtet von einer Schwachstelle im Betriebssystem des EV3. Dort läuft ein Telnet-Server, der ohne Passwort root-Zugang ermöglicht. Der Wurm versucht sich zu verbreiten und hängt den befallenen EV3-Brick in ein Botnetz.

Benutzeravatar
HaWe
Administrator
Administrator
Beiträge: 5351
Registriert: 11. Jan 2006 21:01
Wohnort: ein kleiner Planet in der Nähe von Beteigeuze

Re: EV3 mit WLAN anfällig für Telnet-Wurm

Beitragvon HaWe » 20. Jan 2016 15:08

sehr interessant, danke für den Link!

Was ich noch nicht ganz verstanden habe:
- Wie und wo hat sich der EV3 denn eigentlich infiziert
- was passiert nach dem Ausschalten und Neustarten mit dem Wurm, da er ja nur im EV3-RAM residiert (das nach Reboot gelöscht wird),
- und was passiert genau in einfachen Worten, wenn der EV3 es geschafft hat, sich per WiFi mit anderen PCs zu verbinden und sie, wie es heißt, "gefügig zu machen"?

- ach ja, und sind als Wirtscomputer nur Linux/Unix-Rechner (inkl. Mac) empfänglich oder auch PCs?
Gruß,
HaWe
±·≠≈²³αβγδε∂ζλμνπξφωΔΦ≡ΠΣΨΩ∫√∀∃∈∉∧∨¬⊂⊄∩∪∅∞®
NXT NXC SCHACHROBOTER: https://www.youtube.com/watch?v=Cv-yzuebC7E

Benutzeravatar
Sunny Spider
Schreibt ab und zu
Schreibt ab und zu
Beiträge: 25
Registriert: 14. Mai 2013 19:56

Re: EV3 mit WLAN anfällig für Telnet-Wurm

Beitragvon Sunny Spider » 20. Jan 2016 15:30

- die Infektion erfolgt über das Internet. Da sind ständig böse Maschinen auf der Suche nach Geräten mit Telnet-Servern. Das Schlimme ist, daß der Telnet-Server auf dem EV3 jedem ohne Passwort root-Zugang ermöglicht. So etwas zu veröffentlichen ist sträflicher Leichtsinn und dafür sollte man LEGO mit Anlauf in den Ar... treten. OK, auf einem EV3 gibt es keine Daten abzufischen, aber er wird zum Teil eines Botnetzes.

- nach dem Ausschalten ist der Wurm weg. Ohne WLAN-Stick gibt es auch kein Risiko einer Neuinfektion. Mit dem Stick wird es ihn irgendwann wieder erwischen. Es ist zu hoffen, daß LEGO bald Abhilfe schafft. Wer sich mit Routern auskennt, der kann den Port für Telnet auf dem Router blocken.

- Als Teil eines Botnetzes können infizierte Rechenr jeglicher Art, also auch der EV3, zum Beispiel für DDoS-Attacken mißbraucht werden. Eien Webseite wird derartig mit Anfragen überflutet, bis sie schlapp macht und nicht mehr erreichbar ist. Das wird zum Beispiel von Erpressern beutzt.

- Als Wirtscomputer kommt jeder Rechner in Frage, der einen Telnet-Server betreibt. Im Normalfall wird niemand beim Aufsetzen eines Linux- oder Unix-Systems das machen. Daß Windows einen aktiven Telnet-Server betreibt kann ich mir ebenfalls nicht vorstellen. Daß so ein Wurm überhaupt noch aktiv ist, zeigt aber auch, daß es noch ausreichend falsch konfigurierte Systeme gibt.

Benutzeravatar
HaWe
Administrator
Administrator
Beiträge: 5351
Registriert: 11. Jan 2006 21:01
Wohnort: ein kleiner Planet in der Nähe von Beteigeuze

Re: EV3 mit WLAN anfällig für Telnet-Wurm

Beitragvon HaWe » 20. Jan 2016 16:12

super, danke für die Antwort! :prima:
Gruß,
HaWe
±·≠≈²³αβγδε∂ζλμνπξφωΔΦ≡ΠΣΨΩ∫√∀∃∈∉∧∨¬⊂⊄∩∪∅∞®
NXT NXC SCHACHROBOTER: https://www.youtube.com/watch?v=Cv-yzuebC7E

Technicmaster0
Schreibt super viel
Schreibt super viel
Beiträge: 370
Registriert: 22. Dez 2010 12:36
Wohnort: In Berlin rechts abbiegen
Kontaktdaten:

Re: EV3 mit WLAN anfällig für Telnet-Wurm

Beitragvon Technicmaster0 » 21. Jan 2016 23:39

Allerdings gibt es auch einige Aspekte, die dem EV3 zugute kommen.

-Irgendwie müssen die Angreifer an die IP des EV3s gelangen. Dazu muss man eine infizierte Website o.ä. aufrufen
-(ich bin mir nicht ganz sicher) aber wahrscheinlich muss der entsprechende Port am Router überhaupt erst freigegeben werden
-In privaten Netzwerken ändert sich die IP normalerweise alle 24h (auch abhängig vom Provider). Damit ist der EV3, solange man nicht erneut eine infizierte Website o.ä. besucht, danach nicht mehr "auffindbar".

Benutzeravatar
Sunny Spider
Schreibt ab und zu
Schreibt ab und zu
Beiträge: 25
Registriert: 14. Mai 2013 19:56

Re: EV3 mit WLAN anfällig für Telnet-Wurm

Beitragvon Sunny Spider » 22. Jan 2016 00:55

Nöö. Die bösen Server bzw. bereits verseuchten Geräte brauchen keine IP-Adresse, denn sie scannen breite IP-Bereiche nach offenen Telnet-Ports und ermitteln die angreifbaren IP-Adressen durch diese portscans. Ist einer gefunden, dann versuchen sie sich dort anzumelden. Das geht beim EV3 besonders einfach, da eine Telnet-Anmeldung ohne Passwort möglich ist. Die Zwangstrennung hat damit überhaupt nichts zu tun, denn ist ein Gerät erst einmal verseucht, dann hält es regelmäßigen Kontakt zum command&control-Server.

Ich bin nicht sicher, ob alle gängigen Router die "well known ports" standardmäßig geblockt haben. Trauen kann man seinem eigenen Router erst dann, wenn man durch einen Scan von Außen getestet hat, welche Ports offen sind. Man kann seinen Router testen, indem man auf dieser Seite "Test jetzt starten" anklickt und auf der folgenden Seite "Standard-Ports" auswählt. Dann unten noch anklicken, daß man berechtigt, ist seine IP-Adresse zu scannen und dann starten. Kurz danach erhält man eine Liste, auf der alles grün sein sollte. Nur der Port 80 dürfte offen sein, wenn man von zu Hause einen Webserver betreibt. Der für die Sicherheit der EV3 entscheidende Port ist 23.

Technicmaster0
Schreibt super viel
Schreibt super viel
Beiträge: 370
Registriert: 22. Dez 2010 12:36
Wohnort: In Berlin rechts abbiegen
Kontaktdaten:

Re: EV3 mit WLAN anfällig für Telnet-Wurm

Beitragvon Technicmaster0 » 22. Jan 2016 11:02

Damit ein Gerät im Netzwerk verseucht wird muss es aber erstmal von außen gefunden werden (oder eben von einem anderen verseuchten Rechner im Netzwerk). Ich bezweifle, dass die infizierten Geräte irgendwelche zufälligen IPs im Internet ausprobieren.
Wenn das erste Gerät im Netzwerk verseucht ist hast du recht. Die nächsten Geräte werden dann wahrscheinlich durch einen IP-Scan gefunden und befallen (bis man sie ausstellt).
Ich bezweifel aber auch, dass irgendjemand seinen EV3 mehr als ein paar Stunden online hat.

Benutzeravatar
Sunny Spider
Schreibt ab und zu
Schreibt ab und zu
Beiträge: 25
Registriert: 14. Mai 2013 19:56

Re: EV3 mit WLAN anfällig für Telnet-Wurm

Beitragvon Sunny Spider » 22. Jan 2016 12:58

Technicmaster0 hat geschrieben: Ich bezweifle, dass die infizierten Geräte irgendwelche zufälligen IPs im Internet ausprobieren.
... und da ist dein Problem. Genau diese Methode gibt es schon seit ewigen Zeiten und so arbeiten "Würmer". Das erste Mal hatte ich eine unangenehme Begegnung mit einem Wurm zur Anfangszeit von Windows XP. Es gab eine Lücke, die man durch einen Update schließen mußte. Wenn man aber Pech hatte, dann hatte einen der Wurm erwischt bevor der Update da war und man konnte von Neuem installieren.
Wenn du es selbst ausprobieren möchtest, dann hänge mal einen Rechner mit einem offenen Port für SMB ins Internet. Nach kurzer Zeit kannst du beobachten, wie immer mehr Leute (oder Bots) versuchen, sich auf deinem Rechner anzumelden. Was glaubst du wohl, wie die deinen Rechner finden? Ganz einfach: durch breitgestreute Scans nach bestimmten offenen Ports.

Benutzeravatar
Ziz
Schreibt ab und zu
Schreibt ab und zu
Beiträge: 36
Registriert: 16. Apr 2015 17:45
Kontaktdaten:

Re: EV3 mit WLAN anfällig für Telnet-Wurm

Beitragvon Ziz » 21. Feb 2016 14:01

Durchlassen von Port 23 reicht nicht, dann wüsste der NAT ja immer noch nicht an wen im internen netz weitergeleitet werden soll. Ich vermute, dass heise entweder IP6 Adressen vergibt (wobei hier das durchprobieren aller Varianten flach fällt) oder sogar jedes Gerät eine eigene, öffentliche IP4 Adresse bekommt. In Uni- und Forschungszentrennetzwerken ist es genauso, Heise ist ein großer IT Verlag, könnte also sein. Nur in Uninetzwerken werden für gewöhnlich Anfragen von außen geblockt. Wahrscheinlich ist das bei Heise nicht der Fall, weil sie Profis™ sind - bzw. sich dafür halten.

Anders kann ich mir das nicht erklären - außer ein kurzfristig im lokalen Netzwerk eingelogter Rechner (Praktikant...) war auch infiziert.

Benutzeravatar
HaWe
Administrator
Administrator
Beiträge: 5351
Registriert: 11. Jan 2006 21:01
Wohnort: ein kleiner Planet in der Nähe von Beteigeuze

Re: EV3 mit WLAN anfällig für Telnet-Wurm

Beitragvon HaWe » 21. Feb 2016 14:47

Man kann ja einfach den WiFi Stick rausziehen und den EV3 rebooten, oder, wie ich letztens las, im neuesten Firmware Release auch Telnet disablen.
Gruß,
HaWe
±·≠≈²³αβγδε∂ζλμνπξφωΔΦ≡ΠΣΨΩ∫√∀∃∈∉∧∨¬⊂⊄∩∪∅∞®
NXT NXC SCHACHROBOTER: https://www.youtube.com/watch?v=Cv-yzuebC7E


Zurück zu „Lego® Mindstorms Hardware“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 17 Gäste

Lego Mindstorms EV3, NXT und RCX Forum : Haftungsauschluss