Abo
  • Services:

Sicherheitslücken: Router von D-Link können komplett übernommen werden

Mit einfachsten Mitteln können aus Routern von D-Link Zugangsdaten ausgelesen oder Code ausgeführt werden. Die Sicherheitslücken wurden veröffentlicht, Patches jedoch nicht.

Artikel veröffentlicht am ,
Nicht alle D-Link Router sollen ein Update bekommen.
Nicht alle D-Link Router sollen ein Update bekommen. (Bild: byrev/CC0 1.0)

Der Sicherheitsforscher Blazej Adamczyk fand drei Sicherheitslücken im Webserver verschiedener Router von D-Link. Werden die Sicherheitslücken zusammen genutzt, kann völlige Kontrolle über die Geräte erlangt werden. Die Lücken hat er nach eigenen Angaben bereits im Mai an D-Link gemeldet, diese kündigten vor vier Monaten Patches für einige Geräte an. Bisher wurden noch keine Sicherheitsupdates veröffentlicht.

Stellenmarkt
  1. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Ilmenau
  2. Cluno GmbH, München

Mit der ersten Sicherheitslücke (CVE-2018-10822) können beliebige Dateien aus dem Dateisystem der Routers ausgelesen werden. Die Lücke lässt sich durch eine einfache Angabe des Pfades und des Dateinamens in der URL der Weboberfläche abfragen.

Sie wurde bereits 2017 von Patryk Bogdan entdeckt, gemeldet (CVE-2017-6190) und von D-Link in einigen Veröffentlichungen geschlossen. Allerdings taucht sie auch in neueren Releases immer wieder auf.

In Kombination mit einer zweiten Sicherheitslücke (CVE-2018-10824) lassen sich die Zugangsdaten extrahieren. In einem Unterordner des /tmp-Verzeichnisses befindet sich eine Datei mit dem Namen "0", welche die Benutzernamen und die Passwörter im Klartext enthält. Durch die erste Lücke kann die Datei problemlos ausgelesen werden. Anschließend können die Zugangsdaten für einen Login als Administrator genutzt werden und entsprechend alle Einstellungen in der Weboberfläche geändert werden.

Darauf aufbauend lässt sich mit einer dritten Sicherheitslücke (CVE-2018-10823) beliebiger Code auf den Routern ausführen. Auch die Kommandozeilenbefehle können einfach über die URL ausgeführt werden. Die Befehle müssen hierzu an eine bestimmte HTML-Datei angehängt werden.

Kombiniert ein Angreifer alle drei Sicherheitslücken, kann er einen betroffenen Router komplett übernehmen. Je nach Konfiguration ist die Weboberfläche auch über das Internet zu erreichen und entsprechend angreifbar.

Reaktionen von D-Link

Blazej Adamczyk hatte D-Link nach eigenen Angaben bereits am 9. Mai über die Sicherheitslücken informiert. Auf eine erneute Nachfrage nach knapp einem Monat habe D-Link weitere zwei Wochen später geantwortet und Patches für die Router DWR-116 und DWR-111 angekündigt. Mehrere betroffene Router würden jedoch nicht mehr unterstützt und erhielten auch keine Sicherheitsaktualisierungen mehr. Hier werde allerdings ein Hinweis veröffentlicht.

Knapp drei Monate später hakte Adamczyk erneut nach und kündigte an, die Sicherheitslücken zu veröffentlichen, sofern er keine Antwort erhalte. Am 12. Oktober veröffentlichte er sie schließlich, da D-Link nicht reagiert hatte.

Auf eine Anfrage von Golem.de antwortete D-Link, dass das Unternehmen die Sicherheitslücken untersuche und Updates liefere, sobald es mehr Informationen habe. Sicherheit würde sehr ernst genommen, eine Task-Force für Sicherheitsprobleme stünde abrufbereit. Die Frage, warum bisher noch keine Patches erschienen sind, beantwortete das Unternehmen jedoch nicht.

Betroffene D-Link Router

Adamczyk nennt acht betroffene Routermodelle, es dürften aber noch weitere Router mit der gleichen Firmware betroffen sein. Von allen drei Sicherheitslücken sind die Modelle DWR-116, DWR-512, DWR-712, DWR-912, DWR-921 und DWR-111 betroffen. Für die ersten beiden Lücken anfällig, nicht aber für die dritte sind die D-Link Router DIR-140L und DIR-640L.

Erst kürzlich hat sich ein Hacker der Sicherheitslücken betroffener Mikrotik-Router angenommen. Er hackte sie und sicherte sie über Firewall-Regeln gegen erneute Hacks ab. Im Unterschied zu D-Link hatte Mikrotik in kurzer Zeit Sicherheitsaktualisierungen zur Verfügung gestellt, die allerding von vielen Router-Besitzern nicht eingespielt wurden. Schnelles Patchen und eine Auto-Update-Funktion würden die Situation deutlich entspannen.



Anzeige
Spiele-Angebote
  1. 4,67€
  2. 4,99€
  3. 4,99€
  4. 4,99€

x2k 19. Okt 2018

Na klasse dann wird auch noch verhindert, das man alte geräte nichteinmal selber...

aceton 19. Okt 2018

puh...ganz ehrlich...wer bei openwrt, einem alternativen router os, alles per...

Iruwen 18. Okt 2018

Das kann aber eben längst nicht jeder, bei IoT-Sicherheit ist wie beim Impfen der...

Multiplex 18. Okt 2018

... wie im aktuellen Fall von D-Link lese, schwillt mir der Kamm: Sobald es mehr...

fragtek 18. Okt 2018

Das bedeutet, DD-WRT hat diese Lücken nicht, sondern nur die Original Firmware? (Ich...


Folgen Sie uns
       


Kompaktanlage mit Raspi vernetzt

Wie kann eine uralte Kompaktanlage aus den 90er Jahren noch sinnvoll mit modernen Musik- und Videoquellen vernetzt werden?

Kompaktanlage mit Raspi vernetzt Video aufrufen
Echo Wall Clock im Test: Ach du liebe Zeit, Amazon!
Echo Wall Clock im Test
Ach du liebe Zeit, Amazon!

Die Echo Wall Clock hat fast keine Funktionen und die funktionieren auch noch schlecht: Amazons Wanduhr ist schon vielen US-Nutzern auf den Zeiger gegangen - im Test auch uns.
Ein Test von Ingo Pakalski

  1. Amazon Echo Link und Echo Link Amp kommen mit Beschränkungen
  2. Echo Wall Clock Amazon verkauft die Alexa-Wanduhr wieder
  3. Echo Wall Clock Amazon stoppt Verkauf der Alexa-Wanduhr wegen Technikfehler

Orientierungshilfe: Wie Webseiten Nutzer tracken dürfen - und wie nicht
Orientierungshilfe
Wie Webseiten Nutzer tracken dürfen - und wie nicht

Für viele Anbieter dürfte es schwierig werden, ihre Nutzer wie bisher zu tracken. In monatelangen Beratungen haben die deutschen Datenschützer eine 25-seitige Orientierungshilfe zum DSGVO-konformen Tracking ausgearbeitet.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Cookie-Banner Deutsche Datenschützer spielen bei Nutzertracking auf Zeit
  2. Fossa EU erweitert Bug-Bounty-Programm für Open-Source-Software
  3. EU-Zertifizierung Neues Gesetz soll das Internet sicherer machen

Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


      •  /