Hintertür in diversen D-Link-Routern entdeckt

D-Link hat erneut schwerwiegende Sicherheitsprobleme bei mehreren seiner Routermodelle einräumen müssen, nachdem ein Sicherheitsforscher Einzelheiten dazu öffentlich machte. Der Hersteller kündigte gleichzeitig Firmware-Updates für Ende Oktober an. Schon im Frühjahr musste D-Link Sicherheitslücken in anderen Routermodellen durch Updates beheben.

Der für Tactical Networks Solutions tätige Craig Heffner fand durch Reverse-Engineering eine offenbar absichtlich eingebaute Hintertür in der Firmware, die in einer Reihe von D-Link-Routern zum Einsatz kommt. Sie erlaubt es, die übliche Authentifizierung des Nutzers zu umgehen und die Routereinstellungen ohne sein Zutun zu ändern. Heffner beschreibt seine Entdeckung als eher zufällig, nachdem ihm an einem Samstagabend ohne Verabredung ein wenig nach Hacken zumute war.

Router DIR-100 (Bild: D-Link)

Wie er herausfand, implementierten die Entwickler von D-Link die Version 2.23 des quelloffenenen HTTP-Servers Thttpd, die ohnehin eine Reihe von Schwachstellen aufweist. Als weit gefährlicher aber erwies sich die Hintertür, mit der sich die Firmware-Entwickler offenbar Arbeit sparen wollten. So konnten sie über den in der Firmware enthaltenen Webserver Geräteeinstellungen automatisch verändern, ohne eigenen Code dafür schreiben zu müssen.

Die Hintertür ist verblüffend einfach durch Angreifer zu nutzen – es reicht aus, die Browserkennung auf „xmlset_roodkcableoj28840ybtide“ zu setzen. Das genügt, um die Authentifizierung mit Benutzername sowie Kennwort zu umgehen und Zugriff auf das Web-Interface zu bekommen, mit dem sich die Geräteeinstallungen einsehen und ändern lassen. Der User-Agent-String verrät auch die bewusste Platzierung, denn rückwärts gelesen weist er auf den wohl als Programmierer bei D-Link beschäftigten Urheber hin – „edited by 04882 joel backdoor“.

Besonders problematisch ist es, wenn der Router auch noch für die Remote-Konfiguration freigegeben und damit aus dem Internet angreifbar ist. Aber auch schon im eigenen Netzwerk eröffnen sich Gefahrenpotenziale durch Malware. Der Hersteller warnt daher ausdrücklich vor E-Mails zu den Router-Schwachstellen: „Wenn Sie auf Links in solchen E-Mails klicken, könnte es nichtautorisierten Personen Zugriff auf Ihren Router geben. Weder D-Link noch seine Partner und Reseller werden ihnen unaufgefordert Nachrichten senden, in denen Sie zum Klicken oder einer Installation aufgefordert werden.“

Die Sicherheitsupdates sollen bis Ende des Monats auf der Supportseite von D-Link erscheinen. Die Hintertür fand Craig Heffner in der Firmware 1.13 des Routers DIR-100 (Revision A). Heffner listet außerdem eine Reihe weiterer Routermodelle von D-Link und Planek auf, die mit der gleichen Firmware laufen und daher wohl ebenfalls die Hintertür aufweisen. Über den Suchdienst Shodan fand er tatsächlich tausende anfällige Geräte.

Das von Heffner untersuchte Modell DIR-100 (Revision A) wurde laut D-Link auch in Deutschland verkauft. Dem Hersteller zufolge ist die aktuelle Revision D jedoch nicht mehr von der Schwachstelle betroffen.

Update vom 16. Oktober, 9.20 Uhr: D-Link hat in einer Stellungnahme inzwischen erklärt, dass aktuell in Deutschland, Österreich und der Schweiz verkaufte Router-Modelle von der Sicherheitslücke nicht betroffen seien – auch wie bereits im Beitrag erklärt, nicht der DIR-100 in der Revision D oder der DIR-615. Zudem seien die Routermodelle DI-524, DI-524/DE (jeweils in der Revision B) zwar in Deutschland, Österreich und in der Schweiz vertrieben worden, jedoch nicht betroffen.

Früher erworbene Router-Modelle mit der Bezeichnung DIR-100 (Revision A) und DI-524UP sind anfällig. Deren Besitzern empfiehlt D-Link, die Remote-Management-Funktion zu deaktivieren, bis das Firmware-Update bereitsteht.

[mit Material von Michael Lee, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de