D-Link DIR-850L: Router können gekapert werden, Patches nicht verfügbar
In D-Links Heimrouter 850L klaffen schwerwiegende Sicherheitslücken, über die Angreifer die Geräte in ihre Kontrolle bringen können. Updates, welche die Lücken schließen, sind vorerst nicht zu erwarten.
- Fabian A. Scherschel
Im WLAN-Router DIR-850L von D-Link klaffen mindestens zehn schwerwiegende Sicherheitslücken, für die der Hersteller bisher kein Update bereitgestellt hat. Der Sicherheitsforscher Pierre Kim, der die Lücken entdeckt hat, veröffentlichte diese ohne es dem Hersteller vorher mitzuteilen. Er hatte nach eigenen Angaben in der Vergangenheit Lücken in anderen D-Link-Geräten gemeldet und war mit dem Umgang der Firma mit seinen Erkenntnissen wenig zufrieden. Ohne vorherige Kenntnis ist es nicht verwunderlich, dass D-Link bisher nicht mit Patches für das Gerät reagiert hat. Angreifer könnten die nach wie vor offenen Lücken dazu missbrauchen, Admin-Rechte auf dem Router zu erlangen und eigene, Schadcode-behaftete Firmware einzuspielen.
Betroffen sind beide Hardware-Revisionen (Rev. A und Rev. B) des Gerätes. Zwar unterscheiden sich bei den Versionen die vorhandenen Schwachstellen im Detail, im Endeffekt können aber beide Varianten von Angreifern gekapert und komplett übernommen werden. Bei den Lücken handelt es sich unter anderem um Hintertürzugänge mit fest eingestellten Passwörtern, zu laxen Datei-Rechten, auf dem Gerät unsicher gespeicherten Passwörtern und einem DHCP-Client, über den Angreifer eigene Befehle mit Admin-Rechten ausführen können. Außerdem überprüfen die Geräte Firmware-Updates nicht oder nur ungenügend, so dass Hacker eigene, manipulierte Updates einspielen können.
Auf Grund der offen antagonistischen Herangehensweise, die Kim beim Melden der Sicherheitslücken an den Tag gelegt hat, ist vorerst nicht mit Updates für die Router zu rechnen. Der Sicherheitsforscher rät Anwendern des Gerätes, diese vorerst aus dem Verkehr zu ziehen. Seiner Meinung nach ist der Router "grundsätzlich schlecht entworfen" und hat "eine Menge Sicherheitslücken." Dass andere Forscher weitere Lücken in den Geräten finden werden, sei wahrscheinlich. Eine Antwort D-Links auf die Frage, wann Updates bereitstehen werden, steht momentan noch aus. Die Firma teilte uns mit, man beschäftige sich intern allerdings bereits mit dem Problem. (fab)
