SicherheitslĂĽcken-Cocktail bringt D-Link-Router zu Fall
Ein Sicherheitsforscher kombiniert drei SicherheitslĂĽcken und erlangt die volle Kontrolle ĂĽber D-Link-Router. Patches gibt es noch nicht.
(Bild: geralt)
Verschiedene Router-Modelle von D-Link sind verwundbar und Angreifer könnten durch eine Verkettung von Sicherheitslücken die volle Kontrolle über Geräte erlangen. Das hat ein Sicherheitsforscher demonstriert und sein Ergebnis in einem Beitrag festgehalten.
Welche Modelle und Firmware-Versionen davon betroffen sind, listet er in seinem Text auf. Sicherheitsupdates gibt es derzeit noch nicht. D-Link versicherte gegenüber heise Security, dass sie den Fall derzeit noch untersuchen – Patches stehen in Aussicht.
Der Sicherheitsforscher startet mit der Ausnutzung einer Directory-Traversal-LĂĽcke (CVE-2018-10822). DarĂĽber kann er aus der Ferne Dateien in bestimmten Verzeichnissen lesen. In dieser Position greift er auf das Admin-Passwort zu, das unverschlĂĽsselt vorliegt (CVE-2018-10824). Damit ausgerĂĽstet kann er sich authentifizieren und ĂĽber eine Shell-Command-Injection-LĂĽcke (CVE-2018-10823) eigenen Code ausfĂĽhren. In diesem Fall gilt der Router als kompromittiert. (des)
