Sicherheitslücken auf einer halben Million UPC-Routern

von Matthias Wintsch

7. Oktober 2019 - In rund einer halben Million UPC-Routen klaffte eine kritische Sicherheitslücke. UPC reagierte zwar, liess die Benutzer aber im Dunkeln darüber. Besonders die Timeline der Geschichte und die Kommunikation des Unternehmens werfen Fragen auf.

Die Connect Box von UPC hatte eine schwerwiegende Sicherheitslücke, wie "Heise" berichtet. Die Box ist bei einer halben Million Schweizer UPC-Kunden im Einsatz, in Deutschland haben 2,2 Millionen Kunden der UPC-Mutter Liberty Global die Box im Einsatz. Sowohl in der Schweiz wie auch in Deutschland seien die Patches mittlerweile ausgerollt. Der Angriff erlaubt das Einschleusen von Befehlen auf dem Router, wenn man sich im selben Netzwerk befindet. Ist die Fernwartung des Gerätes aktiv, kann der Angriff auch über das Internet erfolgen. Gefunden wurde die Lücke vom Sicherheitsforscher Xitan, der die Ergebnisse auf seinem eigenen Blog dokumentiert.

Eher unangenehm ist, dass UPC die Kundschaft nicht informierte. Auf Anfrage von "Blick" bestätigte das Unternehmen, dass man den betreffenden Patch bereits "vor einigen Wochen bei allen Connect-Boxen" eingespielt habe. Dies ist insofern eigenartig, da der Mutterkonzern Liberty Global hingegen die Updates erst vergangene Woche ausgerollt hatte. Des Weiteren gäbe es keine Hinweise darauf, dass die Lücke ausgenutzt worden sei, so eine UPC-Sprecherin weiter, weshalb man auf eine proaktive Information verzichtet habe.

Der Entdecker der Lücke reagiert derweil leicht befremdet auf die Kommunikation von Liberty Global. Von Seiten des Unternehmens kam über Monate keine Reaktion und wenige Wochen vor dem Ablauf der Frist informierte man, dass man sich dem Problem bewusst sei und den Patch ausgerollt habe. Xitan schreibt dazu: "Ich kann nur sagen, dass ich mir mehr Kommunikation gewünscht hätte, unabhängig davon, ob dem Sicherheitsteam die Schwachstellen bereits bekannt waren oder nicht. Dennoch finde ich es merkwürdig, dass eine so schwere Schwachstelle wie eine nicht authentifizierte Remotecode-Ausführung, von der Hunderttausende betroffen sind, angeblich bereits seit Monaten bekannt ist und dann einige Tage vor der Frist für die vollständige Offenlegung endlich gepatcht wurde."

Copyright by Swiss IT Media GmbH / 2024