Abgekündigte Router-Modelle von D-Link: Kein Update für Firmware-Schwachstelle
Eine Schwachstelle in der Firmware von vier Routern, die EOL-Status erreicht haben, ermöglicht unauthentifizierten Fernzugriff. Updates wird es nicht geben.
Der Supportzeitraum für den DIR-655 endete schon Mitte 2018.
(Bild: eu.dlink.com)
Sicherheitsforscher von Fortinet haben Ende September in einigen älteren Router-Modellen des Herstellers D-Link eine Schwachstelle entdeckt, über die Angreifer aus der Ferne die vollständige Kontrolle über die Router übernehmen könnten.
Die Schwachstelle CVE-2019-16920 wurde als kritisch eingestuft (CVSS-Score 9.8). Sie befindet sich laut der Forscher in der Firmware der Router-Modelle DIR-655C, DIR-866L, DIR-652 und DHP-1565 (einschließlich der jeweils aktuellsten Version).
Laut Fortinet steckt die Schwachstelle im Code, der für den Anmeldevorgang an den Routern verantwortlich ist (apply_sec.cgi). Mittels eines Command-Injection-Angriffs via HTTP POST lasse sich nicht nur die Authentifizierung umgehen (und etwa das Admin-Passwort abfragen), sondern auch beliebige Befehle auf dem verwundbaren Gerät ausführen (Remote Code Execution).
Weitere Details sind einem ausführlichen Blogeintrag von Fortinet zu entnehmen. Knapper zusammengefasste Informationen liefert ein Sicherheitshinweis zur Schwachstelle.
Hersteller rät zum Umstieg
D-Link hat das Vorhandensein der Schwachstelle laut Fortinet zwar innerhalb von 24 Stunden bestätigt, wird sie jedoch nicht beseitigen. Der Grund: Die betroffenen Router haben den End-of-Life (EOL)-Status erreicht und erhalten grundsätzlich keine Updates mehr. Problematisch ist, dass einige der Router-Modelle trotz des EOL und veralteter Firmware weiterhin auf Verkaufsplattformen wie etwa Amazon oder eBay (auch in Deutschland) erhältlich sind.
D-Link rät in einem eigenen Sicherheitshinweis zu CVE-2019-16920 dringend dazu, die Geräte durch aktuellere zu ersetzen. Wer sie weiterhin betreibe, handele auf eigene Gefahr.
(ovw)
