Und täglich grüßt die D-Link-Lücke

Seit mindestens August klafft eine kritische Lücke in Routern der Firmen D-Link und Trendnet. Diese geht auf ein Toolkit der Firma Realtek zurück, die Anfragen von Sicherheitsforschern für Monate beharrlich ignorierte. Nun ist die Lücke öffentlich.

In Pocket speichern vorlesen Druckansicht 38 Kommentare lesen
Und täglich grüßt die D-Link-Lücke
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Die letzten Lücken in D-Link-Routern sind noch nicht geschlossen, da decken Sicherheitsforscher schon wieder neue Probleme in der Router-Firmware des Herstellers auf (CVE-2014-8361). Diesmal handelt es sich um eine Lücke, über die Angreifer aus der Ferne Schadcode mit Systemrechten ausführen können und die auf das Entwicklungs-Toolkit für WLAN-Controller der Firma Realtek zurückgeht. Betroffen sind eine ganze Reihe von Routern von D-Link und Trendnet; nach dem CVSS-Scoring ist die Lücke mit einem Score von 10 hoch kritisch.

Der zugrunde liegende Bug befindet sich im SOAP-Dienst miniigd aus dem Realtek-SDK. Hier werden die Daten aus eingehenden Paketen nicht gründlich genug geprüft, was ein Angreifer missbrauchen kann um sich Root-Rechte zu verschaffen. Um herauszufinden, ob der eigene Router verwundbar ist, kann man das Metasploit-Framework nutzen. Falls der Router in seiner Antwort auf UPNP-Anfragen den String "RealTek/v1.3" oder etwas ähnliches ausgibt, ist er laut dem Entdecker der Lücke angreifbar. Diese Herangehensweise eignet sich allerdings nur für technisch versierte Nutzer.

Wie man sich vor der Lücke schützen kann ist unklar. Bis ein Update bereitsteht können Nutzer eigentlich nur entsprechende Geräte vom Netz nehmen. Auf Grund der weiten Verbreitung des SDK-Codes in Router-Firmware der beiden Hersteller, ist sich nicht einmal der Entdecker der Lücke sicher, wie viele Geräte eigentlich betroffen sind. Eine Liste mit betroffenen Geräten fehlt ebenfalls noch. Das Problem war im August 2014 an die Zero Day Initiative (ZDI) von HP gemeldet worden, die daraufhin über Monate versuchte, Realtek von der Lücke in Kenntnis zu setzen, aber keine Antwort erhielt. Deswegen wurde das Sicherheitsproblem nun nach acht Monaten warten von der ZDI veröffentlicht.

Die Lücke scheint eine gewisse Ähnlichkeit zu einem Problem in einem SOAP-Interface aufzuweisen, mit dem Netgear-Router im Februar zu kämpfen hatten. Aber auch D-Link und Trendnet wurden im selben Monat bereits von Sicherheitslücken gebeutelt, die mehrere Modelle beider Firmen betrafen. (fab)