Schlagwort-Archive: router

PCEngines APU.2C4

Darfs ein bischen mehr sein? So oder so ähnlich kann das seit 2016 erhältliche APU.2C4 SoC-Board von PCEngines treffend zusammengefasst werden. PCEngines wurde durch die ALIX-Systeme bekannt, die sich mit kleinsten Ausmaßen bereits vor zehn Jahren als kleine kompakte Firewall oder Router empfahlen. 500 Megahertz und zwei bis vier 100 MBit/sec Netzwerkschnittstellen, soviel gab es damals für 150 Euro plus Gehäuse und Netzteil. Durchaus ausreichend für die seinerzeit aktuellen ADSL(2)-Anschlüsse und NAT, ein paar Firewall-Regeln und etwas DNS.

Die Zeit bleibt nicht stehen und so ist es wenig überraschend, dass auch PCEngines seit Anfang des Jahres ein neues kompaktes System im Angebot hat: Das APU.2C4.

APU.2C4 Komplettset
APU.2C4 Komplettset

Für circa 200 Euro erhält man ein Komplettset der APU2, bestehend aus folgenden Komponenten (zum Beispiel bei Tronico aus Dortmund).

  • APU.2C4 SYSTEM BOARD
  • GEHÄUSE FÜR ALIX.2X3, ALIX.2D13, APU
  • STECKERNETZTEIL FÜR ALIX.1X, APU.X
  • TRANSCEND MSATA SSD 64GB

Der Zusammenbau ist unkompliziert, zu beachten ist einzig die richtige Anbringung des Kühlkörpers.

Was bringt das kleine Board mit, dass es perfekt für eine SoHo-Firewall mit pfSense erscheinen lässt?

Prozessor

Das APU.2C4 bringt einen eingebetteten AMD GX-412TC Prozessor mit. Ein Quad-Core Prozessor mit 1Ghz, 2MB L2 Cache und einem Turbomodus auf 1,4Ghz. Die TDP liegt bei 6W und die maximale Betriebstemperatur bei 90 degC. Das ganze Paket wird durch Unterstützung von AES-NI und Hardware-Virtualisierung abgerundet.

Netzwerk

Hier empfiehlt sich das kleine SoC-Board mit drei Intel i210AT Ethernet Controllern besonders als Firewall. Erwähnenswert ist die Unterstützung von hardwareunterstützter Berechnung von Prüfsummen sowohl für IPv4 wie auch IPv6 sowie Unterstützung von Message Signal Interrupt Extension (MSI-X), um die Verarbeitung von Datenpaketen auf Mehrkern-Systemen durch Parallelverarbeitung zu beschleunigen.

Erweiterungsmöglichkeiten

Vom Hersteller PCEngines selbst sind zwei miniPCIe WLAN-Karten verfügbar. Einmal die wle200nx und einmal die wle600vx. Weitere WLAN-Karten in diesem Formfaktor sind verfügbar. Das von PCEngines vertriebene Gehäuse bietet passend für die beiden WLAN-Karten zwei Löcher (im Lieferzustand mit Gummi-Pfropfen verschlossen) um Antennenanschlüsse zu befestigen.

Ansonsten gestaltet sich das Angebot relativ unspektakulär bis auf einen miniPCIe DVB-Tuner mit bis zu vier Tunern von Digital Devices.

Bleibt nur ein Bild des hier mit pfSense werkelnden Boards.

APU.2C4 im Rack
APU.2C4 im Rack

OS Command Injection am Beispiel Inter-Tech RPD-150

(Inter-Tech RPD-150 - Quelle: Inter-Tech Bilderpaket)
( RPD-150 )

Im Bereich eingebetteter Systeme ticken die Uhren langsamer, als im Desktop- und Server-Bereich. Hier lassen sich noch leicht klassische Schwachstellen wie Directory Traversal oder OS Command Injection finden. Letztere Variante findet sich auch im WLAN-Router RPD-150 der Firma PC-Professional, der durch Inter-Tech vertrieben wird. Das Gerät wird für circa 11 Euro angeboten und wird mit überragender Sicherheit beworben.

Bildschirmfoto - 17.04.2014 - 00:09:20
RPD-150: Mit überragender Sicherheit.

OS Command Injection Angriffe (nach OWASP) bezwecken es, Befehle die durch den Angreifer festgelegt werden, in eine anfällige Anwendung einzuschleusen. Dabei verhält sich die verwundbare Anwendung wie eine Pseudo-Shell, die es erlaubt, mit den Rechten und in der Umgebung in der sie ausgeführt wird, Befehle auf dem System auszuführen.

Erste Stelle, die oft für Command Injection Angriffe besonders interessant ist, ist die Ausführung von Diagnosebefehlen in der administrativen Oberfläche eines Routers. Hier werden teilweise Eingaben ungefiltert an die entsprechenden Systembefehle wie ping oder traceroute weitergegeben. So auch beim RPD-150. Das folgende Bildschirmfoto zeigt, wie mit Hilfe der PING Funktion und Einbettung von Shellbefehlen ein Telnet-Server gestartet werden kann.

command_injection

Ein kurzer Test bestätigt den Start des Telnet-Servers, wie auf folgendem Bildschirmfoto zu sehen.

Bildschirmfoto - 20.04.2014 - 14:06:47

Ein laufender Telnet-Server ist aber nicht gleichbedeutung mit vollem Superuser-Zugriff auf den Router. Dafür muss ein Kennwort gebrochen werden. Da das Webinterface mit Root-Rechten ausgeführt wird (eine Eingabe von 127.0.0.1; echo $USER bestätigt das), ist die Gewinnung der Datei /etc/passwd kein Problem.

Sie enthält bei eingebetteten Systemen nicht nur die bekannten Informationen zu Benutzernamen und User-IDs, sondern darüber hinaus auch das gehashte Kennwort. Auf Desktop-Systemen wird es sonst in der Datei /etc/shadow/ gespeichert. Durch Ausnutzung der Schwachstelle mit dem Befehl 127.0.0.1; cat /etc/passwd kann der Inhalt der Datei gewonnen werden: root:C75rzlQ3E2Dkc:0:0:root:/:/bin/sh.

Das Kennwort des Superusers kann darauf folgend mit John the Ripper in kurzer Zeit gebrochen werden. Es lautet admin.

Mit dem Kennwort kann jetzt eine Verbindung als Superuser zum vorher gestarteten Telnet-Server hergestellt werden, wie das folgende Bildschirmfoto zeigt.

Bildschirmfoto - 17.04.2014 - 00:10:06

Die Schwachstelle ist natürlich nur geringfügig, da eine Anmeldung im Webinterface erforderlich ist.

Besonderer Dank an Inter-Tech, die sehr schnell reagierten und der Veröffentlichung des Artikels zugestimmt haben. Quelle des Produktfotos: Inter-Tech RPD-150 Bilderpaket.