Firma D-Link wiegelt ab

D-Link-Router DIR-300 und DIR-600 mit Sicherheitsproblemen (Update)

Wie der Sicherheitsexperte Michael Messner bereits im Dezember 2012 entdeckte, sind die beiden D-Link-Router DIR-300 und DIR-600 unsicher. Nachdem er den Hersteller D-Link im Dezember informiert hatte, wiegelte die Firma ab – es sei ein Problem des Browsers. Weitere eingesandte Details führten bisher nicht zu einer Antwort.

Die vom Messner entdeckten Lücken führen in einem Fall dazu, dass mit einfachsten Mitteln beliebige Befehle ausgeführt werden können, die eigentlich ein Root-Passwort voraussetzen sollten. In seinem Blog beschreibt der Experte, wie man mit einem simplen POST-Kommando Linux-Befehle auf den beiden Routern ausführen kann. Die Lücke wurde mittlerweile auch von Heise-Security bestätigt.

Die Lücke wird durch fehlerhafte Rechtevergabe und fehlende Validierung von Benutzereingaben im Befehl cmd ermöglicht. So war es Messner möglich, telnetd auf einem der Router zu starten und damit Zugriff auf eine volle Shell zu erlangen. Als Dreingabe kann der Angreifer dann noch sicherstellen, dass der Besitzer keinen Root-Zugriff mehr hat, indem das Root-Passwort geändert wird. Das ist im Verzeichnis /var/passwd im Klartext gespeichert.

Betroffen sind auch aktuelle Firmware-Versionen. Beim Modell DIR-300 sind das Version 2.12 vom 18.01.2012 und 2.13 vom 07.11.2012, was die derzeit aktuelle Version ist. Für den DIR-600 sind Version 2.12b02 vom 17.01.2012 sowie 2.13b01 vom 07.11.2012 und 2.14b01 vom 22.01.2013 als aktuelle Version betroffen.

Nachdem Messner am 14. Dezember 2012 D-Link über seine Funde benachrichtigt hatte und eine Woche später Heise Security zusätzlich einschaltete, verlautete D-Link nach zwei weiteren Nachfragen, das geschilderte Szenario sei ein Problem des Anwenders oder des Browsers, es bestehe somit kein Grund für eine aktualisierte Firmware. Messner sandte daraufhin am 25. Januar 2013 zur Verdeutlichung der Tragweite des Sicherheitslecks weitere Details ein, die bisher seitens D-Link unbeantwortet blieben.

Update 06.02.2013 18:32 Uhr (Forum-Beitrag)

D-Link hat reagiert und eine aktualisierte Firmware für die beiden betroffenen Router veröffentlicht, die nach Angaben des Unternehmens die beschriebenen Lücken behebt. Die Firmware ist auf dem Firmenserver für die Modelle DIR-300 Revision B, DIR-600 Revision B1 und B2 sowie DIR-600 Revision B5 verfügbar. Um das eigene Gerät samt Revision zu identifizieren, hilft das Typenschild auf der Unterseite. Besitzer dieser Geräte sind dringend angehalten, die neue Firmware aufzuspielen.