Hintertüren in mehreren Router-Modellen von D-Link aufgedeckt

NetzwerkeSicherheit
d-link-dir-100

Die Backdoor wurde offenbar von einem Programmierer bewusst platziert. Angreifer können darüber die Geräteeinstellungen manipulieren. D-Link hat für Ende Oktober Updates der Firmware angekündigt. Anfällig sind auch früher in Deutschland verkaufte Modelle vom Typ DIR-100.

D-Link hat Sicherheitsprobleme bei mehreren Modellen seines Router-Portfolios eingeräumt und gleichzeitig Firmware-Updates für Ende Oktober angekündigt. Der Hersteller reagiert damit auf eine Veröffentlichung des für Tactical Networks Solutions tätigen Sicherheitsforschers Craig Heffner.

d-link-dir-100

Er kam der offenbar absichtlich eingebauten Hintertür in der Firmware durch Reverse-Engineering auf die Spur. Das anfällige Programm kommt in mehreren D-Link-Routern zum Einsatz. Die Backdoor erlaubt es, die übliche Authentifizierung des Nutzers zu umgehen und die Einstellungen des Router zu ändern.

Laut Heffner implementierten die Entwickler von D-Link die Version 2.23 des quelloffenenen HTTP-Servers Thttpd, die ohnehin eine Reihe von Schwachstellen enthält. Als weit gefährlicher erwies sich jedoch die Hintertür, mit der sich die Firmware-Entwickler offenbar Arbeit ersparen wollten. Denn über den in der Firmware enthaltenen Webserver konnten sie Geräteeinstellungen automatisch verändern, ohne eigenen Code dafür schreiben zu müssen.

Um die Hintertür auszunutzen reicht es aus, die Browserkennung auf “xmlset_roodkcableoj28840ybtide” zu setzen. Damit lässt sich die Authentifizierung mit Benutzername sowie Kennwort umgehen und Zugriff auf das Web-Interface zu erlangen. Darüber lassen sich dann die Geräteeinstallungen einsehen und ändern. Der User-Agent-String verrät auch die bewusste Platzierung, denn rückwärts gelesen weist er auf den wohl als Programmierer bei D-Link beschäftigten Urheber hin – “edited by 04882 joel backdoor”.

Besonders problematisch ist es, wenn der Router für die Remote-Konfiguration freigegeben ist. Aber auch im eigenen Netzwerk besteht ein Gefahrenpotenzial durch Malware. Der Hersteller warnt daher ausdrücklich vor E-Mails zu den Router-Schwachstellen: “Wenn Sie auf Links in solchen E-Mails klicken, könnte es nichtautorisierten Personen Zugriff auf Ihren Router geben. Weder D-Link noch seine Partner und Reseller werden ihnen unaufgefordert Nachrichten senden, in denen Sie zum Klicken oder einer Installation aufgefordert werden.”

Die Sicherheitsupdates sollen bis Ende des Monats auf der Supportseite von D-Link bereit gestellt werden. Die Hintertür fand Craig Heffner in der Firmware 1.13 des Routers DIR-100 (Revision A). Heffner listet außerdem eine Reihe weiterer Routermodelle von D-Link auf, die mit der gleichen Firmware laufen und daher wohl ebenfalls die Hintertür aufweisen.

Das von Heffner untersuchte Modell DIR-100 (Revision A) wurde laut D-Link auch in Deutschland verkauft. Dem Hersteller zufolge ist die aktuell verkaufte Revision D jedoch nicht von der Schwachstelle betroffen.

Update 20 Uhr 46: D-Link hat in einer Stellungnahme inzwischen erklärt, dass aktuell in Deutschland, Österreich und der Schweiz verkaufte Router-Modelle von der Sicherheitslücke nicht betroffen seien, auch wie bereits im Beitrag erklärt, nicht DIR-100 in der Revision D oder der DIR-615. Zudem seien die Routermodelle DI-524, DI-524/DE (jeweils in der Revision B) zwar in Deutschland, Österreich und in der Schweiz vertrieben worden, jedoch nicht betroffen.

Früher erworbene Router-Modelle mit der Bezeichnung DIR-100 (Revision A) und DI-524UP sind anfällig. Deren Besitzern empfiehlt D-Link, die Remote-Management-Funktion zu deaktivieren, bis das Firmware-Update bereit steht.

[mit Material von Bernd Kling, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen