Abo
  • IT-Karriere:

850L: D-Link will kritische Routerschwachstellen patchen

Nachdem ein Hacker Sicherheitslücken im Router 850L unkoordiniert veröffentlicht hat, will D-Link bald Updates liefern. Die Probleme sind in der Tat gravierend und ermöglichen eine Übernahme des Gerätes.

Artikel veröffentlicht am ,
Der 850L von D-Link braucht ein paar Patches.
Der 850L von D-Link braucht ein paar Patches. (Bild: D-Link)

D-Link will zahlreiche Sicherheitslücken in seinem Router mit der Bezeichnung 850L patchen. Die Schwachstellen waren zuvor unkoordiniert von dem Hacker Pierre Kim veröffentlicht worden. Dieser hatte eigenen Angaben zufolge "schlechte Erfahrungen" mit der Sicherheitsabteilung von D-Link gemacht und damit begründet, nicht im Rahmen von "responsible disclosure" veröffentlicht zu haben.

Stellenmarkt
  1. Die Haftpflichtkasse VVaG, Roßdorf
  2. LOTTO Hamburg GmbH, Hamburg

Kim zufolge kann die Firmware des Gerätes einfach ausgelesen und auch ohne Probleme ausgetauscht werden, da keinerlei Signaturprüfung vorgenommen werde. Die Firmware wird nur durch ein hardcodiertes Passwort geschützt.

Die Geräte sind außerdem für Cross-Site-Scripting anfällig, auf diesem Weg können dann zum Beispiel bestimmte Cookies ausgelesen werden. Kim entdeckte gleich fünf entsprechende Schwachstellen.

Sicherheitslücken im Clouddienst

Außerdem soll D-Links Clouddienst Mydlink mehrere Sicherheitsprobleme aufweisen, so soll etwa das Gerätepasswort in Requests unverschlüsselt mitgesendet werden. Kim schreibt, dies würde demonstrieren: "wie kaputt" dieser Dienst sei. Durch reines Mithören des Traffics könnten Angreifer die notwendigen Daten bekommen, um sich in den Router einzuloggen. Mit dem Zugriff auf die Weboberfläche könnten auch neue Firmwareversionen eingespielt werden.

Außerdem seien auf dem Gerät die privaten Schlüssel für die Proxy-Verschlüsselung Stunnel enthalten und ließen sich auslesen. Weitere vertrauliche Informationen wie Passwörter werden in /var/passwd im Klartext abgespeichert. Den auf dem Gerät laufenden DHCP-Dienst könnten zudem Befehle untergeschoben werden, die mit Root-Rechten ausgeführt werden.

D-Link hat nach eigenen Angaben "direkt" nach Veröffentlichung des Artikels Schritte eingeleitet, um die beschriebenen Probleme zu lösen. Auf Anfrage von Golem.de teilte das Unternehmen mit, am 19. September ein Update zur Verfügung stellen zu wollen.



Anzeige
Top-Angebote
  1. 399€ + Versand oder kostenlose Marktabholung (Vergleichspreis ab 443€)
  2. (u. a. Samsung 860 EVO 1 TB für 99€ in einigen Märkten. Online nicht mehr verfügbar)
  3. (u. a. 49" für 619,99€ statt 748,90€ im Vergleich)
  4. 69,90€ + Versand (Vergleichspreis 97,68€ + Versand)

Folgen Sie uns
       


Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Fachkräftemangel Freie sind gefragt
  2. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  3. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt

Nachhaltigkeit: Bauen fürs Klima
Nachhaltigkeit
Bauen fürs Klima

In Städten sind Gebäude für gut die Hälfte der Emissionen von Treibhausgasen verantwortlich, in Metropolen wie London, Los Angeles oder Paris sogar für 70 Prozent. Klimafreundliche Bauten spielen daher eine wichtige Rolle, um die Klimaziele in einer zunehmend urbanisierten Welt zu erreichen.
Ein Bericht von Jan Oliver Löfken

  1. Klimaschutz Großbritannien probt für den Kohleausstieg
  2. Energie Warum Japan auf Wasserstoff setzt

Mobile-Games-Auslese: Verdrehte Räume und verrückte Zombies für unterwegs
Mobile-Games-Auslese
Verdrehte Räume und verrückte Zombies für unterwegs

Ein zauberhaftes Denksportspiel wie Rooms, ansteckende Zombies in Infectonator 3 Apocalypse und Sky - Children of the Light, das neue Werk der Journey-Entwickler: Für die Urlaubszeit hat Golem.de besonders schöne und vielfälige Mobile Games gefunden!
Eine Rezension von Rainer Sigl

  1. Dr. Mario World im Test Spielspaß für Privatpatienten
  2. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  3. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor

    •  /