D-Link: Router-Firmware mit versteckter Hintertür

Router, D-Link, DIR-100 Bildquelle: D-Link
Eine Reihe von Routern des Herstellers D-Link verfügen in der Firmware über eine Hintertür, mit der sich Unbefugte Zugang zu den Systemeinstellungen verschaffen können, ohne sich zu authentifizieren.
Entdeckt hat das Problem der Sicherheitsforscher Craig Heffner, der für die Firma Tactical Network Solutions arbeitet und auf die Analyse von entsprechenden Systemen spezialisiert ist. Dieser entdeckte die Sicherheitslücke, nachdem er eine neue Firmware für den DIR-100-Router heruntergeladen und per Reverse Engineering untersucht hatte.

In seinem Blog schildert er, dass dies ein Projekt außerhalb seiner eigentlichen Tätigkeit war. Heffner hatte an einem Samstag-Abend nichts vor, legte sich etwas Musik auf und machte sich daran, die Firmware unter die Lupe zu nehmen. Dabei stieß er auf eine etwas seltsam anmutende Funktion, die ihn auf die Fährte brachte.

Letztlich kam heraus, dass es problemlos möglich ist, sich mit dem Web-Interface für die Router-Einstellungen zu verbinden, ohne, dass ein Passwort abgefragt wird. Dafür sei es lediglich notwendig, den User-Agent-String des anfragenden Browsers auf "xmlset_roodkcableoj28840ybtide" zu ändern.

Dieser Zugang wurde von den Entwicklern der Firmware offenbar gezielt eingebaut. Darauf deutet die Zeichenfolge hin: Lässt man im zweiten Teil des Strings die Zahlen weg und liest von hinten, steht dort: "edit by joel backdoor". "Meine Idee ist, dass die Entwickler realisierten, dass einige Programme/Dienste fähig sein müssen, automatische Änderungen vorzunehmen", so Heffner. Diese würden auf diesem Weg einen einfachen Zugang zu dem System erhalten.

Es handelt sich also um einen Fall dessen, was in der Sicherheits-Szene als "Security by Obscurity" bezeichnet wird. Dies bedeutet, dass - meist aus Bequemlichkeit - auf eine echte Sicherheitsmaßnahme verzichtet wird und man die sensiblen Inhalte oder Funktionen durch verstecken zu schützen versucht. Ein anderes Beispiel ist beispielsweise die ungeschützte Ablage von Dokumenten auf einem Webserver, wo sie lediglich nicht verlinkt sind. Hier wird von der Annahme ausgegangen, dass ein Angreifer nicht über die entscheidenden Informationen verfügt - was im Zweifel ein folgenschwerer Irrtum sein kann.

Laut Heffner sind von dem beschriebenen Problem die D-Link-Modelle DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 und möglicherweise auch der DIR-615 betroffen. Hinzu kommen die Router BRL-04UR und BRL-04CW von Planex, bei denen die gleiche Firmware zum Einsatz kommt. Router, D-Link, DIR-100 Router, D-Link, DIR-100 D-Link
Diese Nachricht empfehlen
Kommentieren69
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr tax 2017 (für Steuerjahr 2016 / Frustfreie Verpackung)
tax 2017 (für Steuerjahr 2016 / Frustfreie Verpackung)
Original Amazon-Preis
12,98
Im Preisvergleich ab
10,95
Blitzangebot-Preis
7,59
Ersparnis zu Amazon 42% oder 5,39

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden