D-Link Router-Schwachstellen: Einfallstor durch nicht gepatchte Lücken

Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr
Der Router-Hersteller D-Link hat die Sicherheit seiner Modelle noch immer nicht ganz im Griff. Nach den bekannten Mängeln aus den vergangenen Monaten folgt jetzt die Entdeckung von Sicherheitslücken, die einen vollständigen Zugriff ermöglichen. Öffentlich gemacht hat ein polnischer Sicherheitsforscher die Angreifbarkeit von insgesamt acht D-Link-Routern. Blazej Adamczyk von der Schlesischen Technischen Universität hatte die Sicherheitsmängel entdeckt, die zusammengenommen die komplette Übernahme der Router ermöglichen, schreibt Günter Born in seinem Blog. Über die Kompromittierungs­möglichkeit wurde ein Video veröffentlicht:



Die Schwachstellen

Zu den Daten, auf die laut Adamczyk zugegriffen werden kann, gehören Passwörter, die in einer temporären Datei im Klartext gespeichert sind (CVE-2018-10824).

Eine weitere Sicherheitslücke (CVE-2018-10822) sitzt in der Verzeichnisübergabe in der webbasierten Konfigurationsoberfläche, durch die Angreifer beliebige Dateien abrufen können. Dieser Fehler soll sich im Übrigen aus einem anderen Patch ergeben, mit dem D-Link schon einmal versuchte, das Einfallstor zu schließen.

Volle Kontrolle für Angreifer

Zudem gibt es einen Fehler, durch den ein authentifizierter Angreifer beliebigen Code ausführen kann, indem er den Shell-Befehl in den Sip-Parameter der Seite chkisg.htm einfügt. Das ermöglicht dann die volle Kontrolle über die Geräte-Komponenten (CVE-2018-10823).

Die Schwachstellen gehen dabei teilweise auf Sicherheitslücken zurück, über die wir bereits vor einigen Wochen berichtet hatten und die im Mai gemeldet wurden.

D-Link hatte im Anschluss an das Bekanntwerden einige Updates herausgegeben, doch die Patches beheben die Probleme laut den Erkenntnissen des Sicherheitsforschers nicht. Einige Modelle wurden gar nicht bedacht.

Dazu gehören die D-Link-Router DWR-116, DWR-140, DWR-512, DWR-640, DWR-712, DWR-912, DWR-921 und DWR-111. Einige sind Auslaufmodelle, die sollen laut den Informationen von Adamczyk auch ohne Patch bleiben. Nur für die Modelle DWR-116 und 111 arbeite man wohl an einem Update. Siehe auch:
Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr
Diese Nachricht empfehlen
Kommentieren1
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 11:20 Uhr Android Tablet PC, 10.1 Zoll Bildschirm Tablet-PC mit Dual-SIM Karte, 2GB RAM, 32GB Speicher, 1280*800 Full HD IPS Touchscreen WiFi/ WLAN/ Bluetooth 4,0Android Tablet PC, 10.1 Zoll Bildschirm Tablet-PC mit Dual-SIM Karte, 2GB RAM, 32GB Speicher, 1280*800 Full HD IPS Touchscreen WiFi/ WLAN/ Bluetooth 4,0
Original Amazon-Preis
109,95
Im Preisvergleich ab
?
Blitzangebot-Preis
87,96
Ersparnis zu Amazon 20% oder 21,99

Video-Empfehlungen

Tipp einsenden