UPnP-Sicherheitslücke: D-Link bringt Firmware-Updates

NetzwerkeSicherheit
d-link-logo

D-Link hat für drei Router-Modelle und einige seiner IP-Kameras eine aktualisierte Version der Firmware bereitgestellt. Der Hersteller empfiehlt Besitzern der Geräte, das Update einzuspielen. Die Anfang des Jahres bei vielen Herstellern entdeckten Sicherheitslücken in UPnP sind meist auf veraltete Firmware-Versionen zurückzuführen.

D-Link hat UPnP-Sicherheitspatches für drei Router-Modelle zum Download bereitgestellt. Die aktualisierte Firmware kann beim Hersteller für die Gerätetypen DIR-600 (Hardware-Revision B1 und B2), DIR-600 (Hardware-Revision B5) und DIR-645 (Hardware-Revision A1) heruntergeladen werden. Außerdem sind für mehrere Überwachungskameras des Herstellers Updates verfügbar. Für diese verspricht D-Link auch ein verbessertes Account-Handling.

Ohne Patch offen wie ein Scheunentor: D-Links Router DIR-600 (Bild: D-Link)
D-Links Router DIR-600 (Bild: D-Link)

Beschreibungen der Updates sowie detaillierte Anleitungen für deren Installation finden Nutzer auf der dafür eingerichteten Website. D-Link empfiehlt Besitzern der Geräte, die Updates durchzuführen, um deren Sicherheit zu gewährleisten.

UPnP geriet Ende Januar in die Schlagzeilen, als das Sicherheitsunternehmen Rapid 7 darauf hingewiesen hat, dass aufgrund einiger Lücken etwa 40 bis 50 Millionen Geräte weltweit angreifbar sind.

UPnP ist eine Sammlung von Netzwerkprotokollen, die es beispielsweise PCs, Druckern und WLAN-Access-Points erlaubt, sich gegenseitig zu erkennen und miteinander zu kommunizieren. Danach können die Geräte etwa Dateien austauschen, Drucker ansprechen oder auf das Internet zugreifen.

Die Anfälligkeiten fand Rapid 7 im Simple Service Discovery Protocol (SSDP), das es erlaubt, UPnP-Geräte im Netzwerk zu finden. Sie können missbraucht werden, um einen Absturz des Diensts auszulösen sowie Schadcode einzuschleusen und auszuführen. Weitere Fehler fand das Unternehmen im UPnP Control Interface (SOAP) und in UPnP HTTP. Rapid 7 stellt ein kostenloses Tool zur Verfügung, mit dessen Hilfe man sein Netzwerk auf Geräte mit den UPnP-Lücken überprüfen kann.

Wenig später hat sich das UPnP-Standardgremium damit verteidigt, dass Router, Webcams, digitale Videorekordern und andere Geräten nicht aufgrund von “Lücken in UPnP” unsicher, seien, sondern weil viele Geräte vielmehr Opfer älterer Implementierungen der Programmierbibliotheken libupnp und MiniUPnP seien.

Gerätehersteller empfahl das Gremium damals, die neueste Version des “Internet Gateway Device” zu nutzen. Ein zweites Problem seien falsche Implementierung des Protokolls: Die Standards seien schließlich nur für LAN-Ports gedacht und nicht für WAN-Ports, wie es bei einigen Herstellern der Fall war.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen