Authentifizierungsschwachstelle CVE-2021-20090 bei Arcadyan-basierten Routern und Modems

Sicherheit (Pexels, allgemeine Nutzung)[English]Router und Modems des in Taiwan ansässigen Herstellers Arcadyan weisen eine Schwachstelle CVE-2021-20090 auf, mit der sich die Authentifizierung umgehen lässt. Die Router und Modems werden unter vielen Handelsnamen von anderen Herstellern vertrieben. Bei der Telekom betrifft dies den Speedport Smart 3, bei Vodafone die EasyBox 802, 903 und 904. Hier ein kurzer Überblick über die Schwachstelle.

Das Ganze wurde von Tenable entdeckt und in diesem Dokument beschrieben. Das CERT hat inzwischen diesen Sicherheitshinweis zur Schwachstelle CVE-2021-20090 zum 20. Juli 2021 publiziert.

In zahlreichen Routern verschiedener Hersteller, die die Arcadyan basierende Firmware verwenden, besteht eine Path Traversal-Schwachstelle (CVE-2021-20090). Diese Schwachstelle ermöglicht einem nicht authentifizierten Benutzer den Zugriff auf sensible Informationen, die normalerweise geschützt sind, und nun eine Änderung der Routerkonfiguration ermöglichen.

Wird diese Sicherheitslücke erfolgreich ausgenutzt, kann ein Angreifer auf Seiten zugreifen, für die sonst eine Authentifizierung erforderlich wäre. Ein nicht authentifizierter Angreifer könnte Zugang zu sensiblen Informationen erhalten, einschließlich gültiger Anfrage-Token, die für Anfragen zur Änderung von Router-Einstellungen verwendet werden könnten.

Der Sicherheitsforscher, der die Schwachstelle entdeckte, ging zunächst davon aus, dass die Schwachstelle auf einen Router-Hersteller beschränkt ist, und veröffentlichte seine Ergebnisse, entdeckte dann aber, dass das Problem in der auf Arcadyan basierenden Software besteht, die in Routern mehrerer Hersteller verwendet wird. Bei Tenable findet sich diese Liste betroffener Geräte:

Vendor Device Found on version
ADB ADSL wireless IAD router 1.26S-R-3P
Arcadyan ARV7519 00.96.00.96.617ES
Arcadyan VRV9517 6.00.17 build04
Arcadyan VGV7519 3.01.116
Arcadyan VRV9518 1.01.00 build44
ASMAX BBR-4MG / SMC7908 ADSL 0.08
ASUS DSL-AC88U (Arc VRV9517) 1.10.05 build502
ASUS DSL-AC87VG (Arc VRV9510) 1.05.18 build305
ASUS DSL-AC3100 1.10.05 build503
ASUS DSL-AC68VG 5.00.08 build272
Beeline Smart Box Flash 1.00.13_beta4
British Telecom WE410443-SA 1.02.12 build02
Buffalo WSR-2533DHPL2 1.02
Buffalo WSR-2533DHP3 1.24
Buffalo BBR-4HG
Buffalo BBR-4MG 2.08 Release 0002
Buffalo WSR-3200AX4S 1.1
Buffalo WSR-1166DHP2 1.15
Buffalo WXR-5700AX7S 1.11
Deutsche Telekom Speedport Smart 3 010137.4.8.001.0
HughesNet HT2000W 0.10.10
KPN ExperiaBox V10A (Arcadyan VRV9517) 5.00.48 build453
KPN VGV7519 3.01.116
O2 HomeBox 6441 1.01.36
Orange LiveBox Fibra (PRV3399) 00.96.00.96.617ES
Skinny Smart Modem (Arcadyan VRV9517) 6.00.16 build01
SparkNZ Smart Modem (Arcadyan VRV9517) 6.00.17 build04
Telecom (Argentina) Arcadyan VRV9518VAC23-A-OS-AM 1.01.00 build44
TelMex PRV33AC 1.31.005.0012
TelMex VRV7006
Telstra Smart Modem Gen 2 (LH1000) 0.13.01r
Telus WiFi Hub (PRV65B444A-S-TS) v3.00.20
Telus NH20A 1.00.10debug build06
Verizon Fios G3100 1.5.0.10
Vodafone EasyBox 904 4.16
Vodafone EasyBox 903 30.05.714
Vodafone EasyBox 802 20.02.226

Das CERT/CC empfiehlt, den Router auf die neueste verfügbare Firmware-Version zu aktualisieren. Es wird außerdem empfohlen, die Remote-Administrationsdienste (WAN-seitig) auf jedem SoHo-Router zu deaktivieren und auch die Web-Schnittstelle im WAN zu deaktivieren.

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Authentifizierungsschwachstelle CVE-2021-20090 bei Arcadyan-basierten Routern und Modems

  1. ibbsy sagt:

    Kleiner Typo im ersten Absatz: Handelsname ohne „h“!

    Kommentar kann gelöscht werden. Nur zur schnellen Info!

  2. Lenny sagt:

    Ich habe das Speedport Smart 3 neu seit 1 ½ Monaten.
    Die Firmware ist aktueller als die hier angegebene. Deshalb mach ich mir erstmal keinen Kopf wegen der Schwachstelle. Durch den sogenannten Easy Support wird sie sowieso regelmäßig aktualisiert.

  3. Daniel Silva sagt:

    Speedport W922V und W724V Typ B fehlen in der Liste, haben aber auch ein Update bekommen, ebenso die Pro Serie und der Smart 4.

    telekom.de/hilfe/geraete-zubehoer/router/speedport/900-serie
    telekom.de/hilfe/geraete-zubehoer/router/speedport/700-serie

    Beispielsweise W921V und noch viele andere ältere Speedports sind auch von Arcadyan und architektonisch sehr ähnlich und daher mutmaßlich auch betroffen, dürften wohl nur aufgrund des Alters keine Updates bekommen haben…

    • Speedy Gonzales sagt:

      Zumindest der „bypass list“ POC hier tenable.com/security/research/tra-2021-13 funktioniert nach einem kurzem Test auch bei einem Speedport W921V.

  4. Christian Krause sagt:

    Easybox 803a ist auch von arcadyan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert