Abo
  • Services:

850L: D-Link will kritische Routerschwachstellen patchen

Nachdem ein Hacker Sicherheitslücken im Router 850L unkoordiniert veröffentlicht hat, will D-Link bald Updates liefern. Die Probleme sind in der Tat gravierend und ermöglichen eine Übernahme des Gerätes.

Artikel veröffentlicht am ,
Der 850L von D-Link braucht ein paar Patches.
Der 850L von D-Link braucht ein paar Patches. (Bild: D-Link)

D-Link will zahlreiche Sicherheitslücken in seinem Router mit der Bezeichnung 850L patchen. Die Schwachstellen waren zuvor unkoordiniert von dem Hacker Pierre Kim veröffentlicht worden. Dieser hatte eigenen Angaben zufolge "schlechte Erfahrungen" mit der Sicherheitsabteilung von D-Link gemacht und damit begründet, nicht im Rahmen von "responsible disclosure" veröffentlicht zu haben.

Stellenmarkt
  1. ADAC Ostwestfalen-Lippe e.V., Bielefeld
  2. Interhyp Gruppe, München

Kim zufolge kann die Firmware des Gerätes einfach ausgelesen und auch ohne Probleme ausgetauscht werden, da keinerlei Signaturprüfung vorgenommen werde. Die Firmware wird nur durch ein hardcodiertes Passwort geschützt.

Die Geräte sind außerdem für Cross-Site-Scripting anfällig, auf diesem Weg können dann zum Beispiel bestimmte Cookies ausgelesen werden. Kim entdeckte gleich fünf entsprechende Schwachstellen.

Sicherheitslücken im Clouddienst

Außerdem soll D-Links Clouddienst Mydlink mehrere Sicherheitsprobleme aufweisen, so soll etwa das Gerätepasswort in Requests unverschlüsselt mitgesendet werden. Kim schreibt, dies würde demonstrieren: "wie kaputt" dieser Dienst sei. Durch reines Mithören des Traffics könnten Angreifer die notwendigen Daten bekommen, um sich in den Router einzuloggen. Mit dem Zugriff auf die Weboberfläche könnten auch neue Firmwareversionen eingespielt werden.

Außerdem seien auf dem Gerät die privaten Schlüssel für die Proxy-Verschlüsselung Stunnel enthalten und ließen sich auslesen. Weitere vertrauliche Informationen wie Passwörter werden in /var/passwd im Klartext abgespeichert. Den auf dem Gerät laufenden DHCP-Dienst könnten zudem Befehle untergeschoben werden, die mit Root-Rechten ausgeführt werden.

D-Link hat nach eigenen Angaben "direkt" nach Veröffentlichung des Artikels Schritte eingeleitet, um die beschriebenen Probleme zu lösen. Auf Anfrage von Golem.de teilte das Unternehmen mit, am 19. September ein Update zur Verfügung stellen zu wollen.



Anzeige
Hardware-Angebote
  1. 58,99€
  2. täglich neue Deals bei Alternate.de

Folgen Sie uns
       


Intel NUC8 (Crimson Canyon) - Test

Der NUC8 alias Crimson Canyon ist der erste Mini-PC mit einem 10-nm-Chip von Intel. Dessen Grafikeinheit ist aber deaktiviert, weshalb Intel noch eine Radeon RX 540 verlötet. Leider steckt im System eine Festplatte, weshalb der NUC8 sehr träge reagiert und vergleichsweise laut wird.

Intel NUC8 (Crimson Canyon) - Test Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
    Jobporträt
    Wenn die Software für den Anwalt kurzen Prozess macht

    IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
    Von Maja Hoock

    1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
    2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
    3. Recruiting Wenn die KI passende Mitarbeiter findet

    Falcon Heavy: Beim zweiten Mal wird alles besser
    Falcon Heavy
    Beim zweiten Mal wird alles besser

    Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
    Von Frank Wunderlich-Pfeiffer und dpa

    1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
    2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
    3. Raumfahrt SpaceX - Die Rückkehr des Drachen

      •  /