D-Link-Router mit Hintertür

Eine Reihe von D-Link-Routern enthalten eine Hintertür, die es einem Angreifer ermöglicht, durch einfaches Ändern des User Agent als Admin auf das Webinterface zuzugreifen.

In Pocket speichern vorlesen Druckansicht 157 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel

In einer Reihe von D-Link-Routern wurde eine Hintertür entdeckt, die es einem Angreifer erlaubt, die Passwortabfrage des Web-Interface zu überspringen – einfach durch das Ändern des User Agent im Browser. Ein Angreifer im Netz des Routers kann so sämtliche Einstellungen des Gerätes manipulieren. Ist die WAN-Konfiguration aktiviert, so ist dieser Angriff auch über das Internet möglich. Entdeckt hatte die Schwachstelle die Hackergruppe /dev/ttyS0 beim Durchforsten der Router-Firmware 1.13 für die Revision A des DIR-100-Routers.

Die Gruppe stellte fest, dass die Passwortabfrage des eingebauten Webservers einfach umgangen wird, wenn der User Agent des anfragenden Browsers auf den String "xmlset_roodkcableoj28840ybtide" gesetzt wird. Liest man den String rückwärts, kann man Rückschlüsse auf den Namen des Programmierers treffen, der die Hintertür eingebaut hat: "edit by 04882 joel backdoor". Die Hacker haben bei ihren Recherchen in einem russischen Forum einen Beitrag von 2010 gefunden, welcher auf den String hinweist.

Laut den Forschern sind neben dem DIR-100 noch eine Reihe weiterer Router von D-Link betroffen. Dazu zählen die folgenden Modelle:

  • DI-524
  • DI-524UP
  • DI-604S
  • DI-604UP
  • DI-604+
  • TM-G5240

Die Modelle BRL-04UR und BRL-04CW von Planex benutzen wohl ebenfalls die betroffene D-Link Firmware und wären damit auch gefährdet.

Sicherheitsspezialist Travis Goodspeed hat bei weiteren Nachforschungen herausgefunden, dass die Hintertür von Binärcode in der D-Link-Firmware benutzt wird, wahrscheinlich um Einstellungen des Routers automatisch zu konfigurieren. Die Firmware bedient sich dabei des Webservers, der von Haus aus schon alles mitbringt, um den Router zu konfigurieren. Dies ersparte es den Firmware-Entwicklern zusätzlichen Code für diese Aufgabe schreiben zu müssen. Da der Benutzer aber die Zugangsdaten für den Webserver-Zugriff ändern kann, nutzt die Firmware die eingebaute Hintertür – mit katastrophalem Ergebnis für die Sicherheit des Gerätes.

D-Link teilte gegenüber heise online mit, dass man an einer Lösung für die Sicherheitslücke arbeite. Falls ein Software-Update aus technischen Gründen nicht zur Verfügung gestellt werden könne, werde man versuchen, den betroffenen Kunden eine andere Lösung anzubieten. Einen Workaround für das Problem gibt es momentan nicht, betroffene Nutzer sollten aber auf jeden Fall die Möglichkeit zur WAN-Administration der Router abstellen, da sie sonst Opfer eines Angriffs aus dem Internet werden könnten. Eine Suche nach entsprechenden Router-Modellen bei der Suchmaschine Shodan fördert tausende verwundbare Geräte zu Tage.

Laut D-Link werden die Revision A des DIR-100 Routers sowie die Modelle DI-524, DI-524/DE und DI-524UP mittlerweile nicht mehr unterstützt. In der aktuellen Revision D des DIR-100 ist die Lücke nicht vorhanden. Das Modell DIR-615, welches in einigen Kommentaren zu der Meldung von /dev/ttyS0 als auch verwundbar gemeldet wurde, sei nicht betroffen. Die Modelle DI-604S, DI-604UP, DIR-604+ sowie TM-G5240 wurden laut des Herstellers im deutschsprachigen Raum nicht verkauft.

Auf der firmeneigenen Sicherheits-Seite für Router ist die aktuelle Sicherheitslücke momentan noch nicht aufgeführt.

[Update 14.10.2013 16:45]

Mittlerweile gibt es auch ein passendes Modul für das Pentesting-Framework Metasploit, welches das Ausnutzen der Hintertür zu einem Kinderspiel macht. (fab)