850L: D-Link will kritische Routerschwachstellen patchen

Nachdem ein Hacker Sicherheitslücken im Router 850L unkoordiniert veröffentlicht hat, will D-Link bald Updates liefern. Die Probleme sind in der Tat gravierend und ermöglichen eine Übernahme des Gerätes.

Artikel veröffentlicht am ,
Der 850L von D-Link braucht ein paar Patches.
Der 850L von D-Link braucht ein paar Patches. (Bild: D-Link)

D-Link will zahlreiche Sicherheitslücken in seinem Router mit der Bezeichnung 850L patchen. Die Schwachstellen waren zuvor unkoordiniert von dem Hacker Pierre Kim veröffentlicht worden. Dieser hatte eigenen Angaben zufolge "schlechte Erfahrungen" mit der Sicherheitsabteilung von D-Link gemacht und damit begründet, nicht im Rahmen von "responsible disclosure" veröffentlicht zu haben.

Stellenmarkt
  1. Mitarbeiter:in für Digitalisierung & Prozessoptimierung (m/w/d)
    MANDARIN IT, Schwerin, Rostock
  2. Technischer Projektleiter (m/w/d) Hardware E-Mobility
    Continental AG, Nürnberg
Detailsuche

Kim zufolge kann die Firmware des Gerätes einfach ausgelesen und auch ohne Probleme ausgetauscht werden, da keinerlei Signaturprüfung vorgenommen werde. Die Firmware wird nur durch ein hardcodiertes Passwort geschützt.

Die Geräte sind außerdem für Cross-Site-Scripting anfällig, auf diesem Weg können dann zum Beispiel bestimmte Cookies ausgelesen werden. Kim entdeckte gleich fünf entsprechende Schwachstellen.

Sicherheitslücken im Clouddienst

Außerdem soll D-Links Clouddienst Mydlink mehrere Sicherheitsprobleme aufweisen, so soll etwa das Gerätepasswort in Requests unverschlüsselt mitgesendet werden. Kim schreibt, dies würde demonstrieren: "wie kaputt" dieser Dienst sei. Durch reines Mithören des Traffics könnten Angreifer die notwendigen Daten bekommen, um sich in den Router einzuloggen. Mit dem Zugriff auf die Weboberfläche könnten auch neue Firmwareversionen eingespielt werden.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Außerdem seien auf dem Gerät die privaten Schlüssel für die Proxy-Verschlüsselung Stunnel enthalten und ließen sich auslesen. Weitere vertrauliche Informationen wie Passwörter werden in /var/passwd im Klartext abgespeichert. Den auf dem Gerät laufenden DHCP-Dienst könnten zudem Befehle untergeschoben werden, die mit Root-Rechten ausgeführt werden.

D-Link hat nach eigenen Angaben "direkt" nach Veröffentlichung des Artikels Schritte eingeleitet, um die beschriebenen Probleme zu lösen. Auf Anfrage von Golem.de teilte das Unternehmen mit, am 19. September ein Update zur Verfügung stellen zu wollen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Elektromobilität
BMW gibt sich mit 600 Kilometern Reichweite zufrieden

Reichweite ist für BMW wichtig, aber nicht am wichtigsten. Eine Rekordjagd nach immer mehr Kilometern sehen die Entwickler nicht vor.

Elektromobilität: BMW gibt sich mit 600 Kilometern Reichweite zufrieden
Artikel
  1. Telekom: Vodafone will unseren Glasfaserausbau bremsen
    Telekom
    Vodafone will "unseren Glasfaserausbau bremsen"

    Vodafone habe den eigenen Glasfaserausbau kürzlich für beendet erklärt und nehme den Spaten nicht in die Hand, erklärte die Telekom.

  2. Chorus angespielt: Automatischer Arschtritt im All
    Chorus angespielt
    Automatischer Arschtritt im All

    Knopfdruck, Teleport hinter Feind, Abschuss: Das Weltraumspiel Chorus will mit Story, Grafik und Ideen punkten. Golem.de hat es angespielt.
    Von Peter Steinlechner

  3. Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
    Lightning ade  
    EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

    Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 27" WQHD 144Hz 260,91€ • Alternate-Deals (u. a. Acer Nitro 27" FHD 159,90€) • Neuer Kindle Paperwhite Signature Edition vorbestellbar 189,99€ • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • PS5 Digital mit FIFA 22 bei o2 bestellbar [Werbung]
    •  /