Ein weiterer Schwung von Sicherheits-Updates für D-Link-Router

Eine Reihe neuer Firmware-Versionen schließen Sicherheitslücken in D-Link-Routern. Da bereits passende Exploit-Module veröffentlicht wurden, sollte man die möglichst bald einspielen.

In Pocket speichern vorlesen Druckansicht 47 Kommentare lesen
Lesezeit: 2 Min.

Für die D-Link Router DIR-645 Rev. A1, DIR-600 Rev. B1 und B2 sowie DIR-600 Rev. B5 stellt der Hersteller neue Firmware bereit, die teils kritische Sicherheitslücken schließen soll. Eine Übersichtsseite der neuen Firmware-Versionen liefert allerdings nur spärliche Informationen zur Natur der Lücken; D-Links Security-Seite enthält nur ganz allgemeine Ratschläge.

Nach Auskunft des Herstellers führen "fast alle Router-Administrationsoberflächen" eine automatische Prüfung auf FW-Updates durch, die den Anwender über das Vorhandensein der Aktualisierungen informiert. Welche Anwender sich immer noch selbst um ihre Updates kümmern müssen, verrät D-Link allerdings nicht.

Der Entdecker der Lücken, Michael Messner, hat derweil ein Advisory veröffentlicht, das Lücken in diesen, aber auch einigen weiteren D-Link-Modellen beschreibt. Die gefährlichste ist eine "OS Command Injection", bei der man über einen speziellen HTTP-Zugriff ohne Authentifizierung Befehle auf dem Router ausführen kann. Wie man diese Lücke ausnutzen kann, demonstrieren neue Module für die Exploit-Plattform Metasploit für die Modelle DIR-300B / DIR-600B / DIR-815 / DIR-645, DIR-615H und DIR-300A / DIR-320 / DIR-615D.

Eine genaue Aussage, welche Modelle jetzt sicher sind und welche nicht, lässt sich mit den Informationen des Herstellers nicht treffen. Man muss wohl davon ausgehen, dass die Lücken zumindest bei den nicht bei D-Link gelisteten Modellen noch nicht geschlossen wurden und die Modelle DIR-300, DIR-815 und DIR-615 nach wie vor anfällig sind.

Update 6.4.2013, 11:50: Die verlinkten Metasploit-Module beziehen sich nicht auf diese Schwachstellen, sondern sind dazu da, fehlende oder einfach zu erratende Passwörter auszunutzen. Weitere Module speziell für die Command-Injection-Lücken sind jedoch bereits kurz vor der Fertigstellung. Danke an Michael Messner für den Hinweis. (ju)