Sicherheitsalarm für D-Link-Router

Der Sicherheitsexperte Michael Messner hat mehrere Lücken in den D-Link-Routern DIR-300 und DIR-600 entdeckt, darunter eine durch die ein Angreifer mit geringem Aufwand beliebige Befehle ausführen kann. Betroffen sind auch aktuelle Firmware-Versionen; doch schließen will der Router-Hersteller die Lücke offenbar nicht.

Messner beschreibt in seinem Blog, wie man mit einem simplen POST-Parameter Linux-Befehle mit Root-Rechten auf den verwundbaren Routern ausführen kann. Dies erfordert kein Passwort oder sonstwie geartete Authentifizierung. Bei einem kurzen Test von heise Security stellte sich heraus, dass sich viele der Geräte sogar aus dem Internet ansprechen lassen. Uns gelang es auf Anhieb, auf einem der Router einen harmlosen Befehl abzusetzen. Ein echter Angreifer könnte die Systeme beliebig missbrauchen und beispielsweise den gesamten Internet-Verkehr über seine eigenen Server umleiten.

Selbst wenn der Router nicht direkt über das Internet erreichbar ist, geht von der Lücke ein erhebliches Sicherheitsrisiko aus: Ein Angreifer kann den Router-Besitzer über eine speziell präparierte Seite dazu bringen, den Skript-Aufruf über das lokale Netz an seinen Router zu schicken (Cross Site Request Forgery, CSRF). Der Sicherheitsexperte entdeckte darüber hinaus weitere Sicherheitsprobleme: Unter anderem speichert der Router das Root-Passwort im Klartext in der Datei var/passwd. In Verbindung mit der zuvor beschrieben Lücke kann man so kinderleicht das Root-Passwort auslesen – nicht, dass dies nötig wäre, schließlich kann man ja ohnehin bereits Befehle als Root ausführen.

Der Sicherheitsexperte informierte D-Link bereits Mitte Dezember vergangenen Jahres über seinen Funde. Allerdings hat der Hersteller das Ausmaß der Schwachstelle offenbar falsch eingeschätzt: Der Hersteller erklärte, dass es sich um ein Browserproblem handle und man daher nicht plane, eine fehlerbereinigte Firmware zu veröffentlichen. Messner schickte D-Link daraufhin weitere Details, um den Ernst der Lage zu verdeutlichen, worauf er jedoch keine Antwort mehr bekam. Auch eine Nachfrage von heise Security bei D-Link blieb bislang unbeantwortet.

Messner konnte die Lücken in den folgenden Firmware-Versionen nachvollziehen:

DIR-300:

• Version 2.12 vom 18.01.2012
• Version 2.13 vom 07.11.2012 (derzeit aktuell)
  

DIR-600:

• Version 2.12b02 vom 17.01.2012
• Version 2.13b01 vom 07.11.2012
• Version 2.14b01 vom 22.01.2013 (derzeit aktuell)
  

Da man sich derzeit kaum vor Angriffen schützen kann, ist die vernünftigste Lösung, betroffene Router außer Dienst zu stellen – und zu hoffen, dass D-Link doch noch eines Tages Sicherheitsupdates herausgibt.

Ob der eigene Router aus dem Internet erreichbar ist, kann man mit dem Router-Test des heisec-Netzwerkchecks ermitteln. [Update 5.2.2013, 22:45] Ist er das nicht (alle Ports grün), droht zwar keine unmittelbare Gefahr, aber es besteht immer noch die Möglichkeit, dass sich Kommandos via CSRF einschleusen lassen. Dies kann man durch den Aufruf von

http://<Router-IP>/command.php

in einer frischen Browser-Sitzung testen. Erscheint weder eine Fehlermeldung noch eine Passwort-Abfrage, ist die Gefahr hoch, dass das System tatsächlich verwundbar ist. Wer ein Linux-System hat, kann das mit einem Befehl wie

curl --data "cmd=ls" http://<Router-IP>/command.php

sogar direkt überprüfen. Auf manchen Geräten läuft das Admin-Frontend auf Port 8080; da muss man als Router-IP dann etwas wie 192.169.0.1:8080 eingeben. (rei)