Deutsch | English

Mehrere kritische Schwachstellen in T-Mobile HOME NET Router LTE / Huawei B593u-12

22. Jänner 2014

CERT.at ersucht um Beachtung der folgenden Meldung.

Das SEC Consult Vulnerability Lab hat ein Security Advisory zu mehreren kritischen Sicherheitslücken im T-Mobile HOME NET Router LTE / Huawei B593u-12 veröffentlicht. Da bereits Anleitungen zum Ausnützen mancher der Schwachstellen kursieren, empfehlen wir das von T-Mobile Austria bereitgestellte Firmware-Update zeitnah einzuspielen.

Beschreibung

Die Schwachstellen im Überblick

  • Zugang zu sensiblen Konfigurationsdaten aus einer Gast-Session (ohne Passwort)
  • Änderung beliebiger Einstellungen durch einen Gast-User
  • OS Command Injection
  • USB Management / FTP Directory Traversal
  • Cross Site Request Forgery
Details dazu im Advisory von SEC Consult.

Auswirkungen

Ein nicht authentifizierter Angreifer erhält durch Ausnützen der Schwachstellen Administrator-Zugang, kann dadurch die Einstellungen des Routers manipulieren, und - unter bestimmten Voraussetzungen - interne Clients attackieren. Besonders gefährdet sind Geräte bei denen die Original-Konfiguration verändert wurde.

Betroffene Systeme

Bestätigt wurden die Sicherheitslücken für den T-Mobile HOME NET Router LTE (Huawei B593u-12) mit Firmware-Version V100R001C54SP063.
Es wird angenommen, dass - abhängig von der Firmware-Version - auch Varianten des Devices bei anderen Mobilfunk-Providern verwundbar sind.
Das Gerät ist weltweit stark verbreitet.

Abhilfe

Es ist ein Firmware-Update von T-Mobile Austria verfügbar. Informationen dazu und Anleitungen zur Aktualisierung finden sich im Blog von T-Mobile.

Credits

Besonderer Dank geht Johannes Greil, SEC Consult Vulnerability Lab, der sich im Vorfeld der Veröffentlichung, im Sinne einer Responsible Disclosure, mit CERT.at und T-Mobile Austria abgestimmt hat.

Hinweise

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

SEC Consult Vulnerability Lab
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20140122-0_T-Mobile_HOMENET_LTE_Huawei_B593_Router_critical_vulnerabilities_wo_poc_v10.txt
T-Mobile Austria Blog
http://blog.t-mobile.at/2014/01/22/software-updates-zu-verhinderung-von-sicherheitsluecken/
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücke in CGI-Umgebungen (Apache, IIS, ...)
18. Juli 2016 | Es ...
Kritische Sicherheitslücken in Symantec/Norton Antivirus und Sicherheits-Produkten - Patches verfügbar
29. Juni 2016 Beschreibung Der ...
mehr ...
Abgeschlossen: Wartungsarbeiten Donnerstag, 18. 8. 2016, nachmittags
17. August 2016 | Am ...
httpoxy in Österreich
27. Juli 2016 | Wir haben ...
mehr ...
Jahresbericht 2015
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2014/2/20 - 10:43:30
Haftungsausschluss