D-Link will Backdoor-Schwachstelle in Routern schließen

D-Link arbeitet derzeit an der Entwicklung eines Patches, mit dem eine ernsthafte Sicherheitslücke in einigen alten Router-Modellen geschlossen werden soll, die als Backdoor genutzt werden kann. Dieser Bug, der letzte Woche von IT-Sicherheitsexperten entdeckt und öffentlich gemacht wurde, ermöglicht es einem entfernten Anwender, sich im Web-Interface des Routers als Administrator einzuloggen und jede beliebige Aktion durchzuführen.

Die Sicherheitslücke ist äußerst ernst zu nehmen, besonders wenn man bedenkt, dass es sich bei den Routern, die von ihr betroffen sind, um Geräte der Anwender-Klasse handelt, die normalerweise installiert, aktiviert und daraufhin über Jahre nicht angefasst werden. Der Forscher Craig Heffner, der den Fehler entdeckt hat, hat ein Reverse Engineering einer Firmware-Version von D-Link durchgeführt und dabei eine interessante Code-Zeile gefunden. Nach sorgfältiger Durchsicht des Codes und einer Untersuchung, was er in der Lage zu tun ist, stellte Heffner fest, dass ein Cyberkrimineller, der diese Zeile als Wert des User Agents in seinem Browser verwendet, sich als Router-Administrator einloggen und beliebig viele Veränderungen vornehmen kann.

„Mit anderen Worten: Wenn der User Agent-String des Browsers xmlset_roodkcableoj28840ybtide ist, so können Sie sich ohne weitere Authentifikation ins Webinterface einloggen und die Geräteeinstellungen einsehen und/oder verändern.“, schreibt Heffner in seinem Blog.

Die entscheidende Frage lautet: Warum gibt es diesen Backdoor in den Routern? Schon früher wurden die Gerätehersteller mit Fragen dieser Art konfrontiert, und sie antworteten, dass eine solche Funktionalität manchmal für den entfernten Support und als Debugging-Mechanismus während des Entwicklungsprozesses umgesetzt, und hinterher fälschlicherweise vergessen würde, sie wieder zu entfernen. Heffner erklärte, dass ein anderer Forscher, Travis Goodspeed, das als Grund für das Auftauchen des D-Link-Backdoors betrachtet.

„Mein Kollege Travis Goodspeed weist darauf hin, dass dieser Backdoor von der Binärdatei /bin/xmlsetc in der Firmware von D-Link benutzt wird. Nach nicht allzu langer Suche fand ich mehrere Binärdateien, die xmlsetc für die automatische Neueinstellung des Geräts nutzen (Beispiel: dynamischer DNS). Ich nehme an, dass die Entwickler feststellten, dass einige Programme/Services die Fähigkeit benötigen, automatisch die Geräteeinstellungen zu verändern. Nachdem sie entdeckt hatten, dass der nötige Code im Webserver bereits vorhanden ist, beschlossen sie, dem Webserver einfach immer dann Anfragen zu senden, wenn irgendwelche Einstellungsänderungen nötig sind.“, erklärt Heffner.

Das Problem betrifft die folgenden Router-Modelle von D-Link:

  • DIR-100
  • DIR-120
  • DI-624S
  • DI-524UP
  • DI-604S
  • DI-604UP
  • DI-604+
  • TM-G5240

Laut Aussage des Unternehmens wird das Patch, das dieses Loch stopft, zum Monatsende fertiggestellt werden. D-Link bietet ein breites Sortiment an drahtlosen Routern für Heimanwender und Kleinunternehmen an. Bis zum Erscheinen einer neuen Firmware-Version raten Sicherheitsexperten den Nutzern von angreifbaren Modellen sich davon zu überzeugen, dass in ihren WiFi-Netzen WPA2 aktiviert ist und zufällige Passwörter verwendet werden.

Quelle: šthreatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.