Sicherheitsupdate: D-Link-Router DSL-2888A könnte Admin-Daten leaken
Eine aktualisierte Firmware schließt fünf Sicherheitslücken in einem DSL-Router von D-Link.
(Bild: AFANASEV IVAN/Shutterstock.com)
Sicherheitsforscher von Trustwave konnte ohne gültige Log-in-Daten auf verschiedene Bereiche des D-Link-Routers DSL-2888A zugreifen. Nun hat der Hersteller ein Sicherheitsupdate veröffentlicht.
Der DSL-2888A ist insgesamt über fünf Lücken (CVE-2020-24577, CVE-2020-24578, CVE-2020-24579, CVE-2020-24580, CVE-2020-24581) attackierbar. Einstufungen des Bedrohungsgrads sind bislang nicht verfügbar.
In zwei Fällen können Angreifer ohne Passwort auf eigentlich geschützte Bereiche (Authentifizierungsseite und index.html) zugreifen. Außerdem fanden die Sicherheitsforscher heraus, dass Angreifer unter anderem Hashes von Admin-Kennwörtern einsehen.
Jetzt updaten!
In einer Warnmeldung listet D-Link als betroffene Firmware die Version v.AU_1.12 auf. In der Ausgabe v.AU_2.31_V1.1.47ae55 haben die Entwickler die Lücken geschlossen.
In einem Beitrag zu den Schwachstellen geben die Sicherheitsforscher an, die Lücken Ende Mai 2020 an D-Link gemeldet zu haben. Der Sicherheitspatch ist seit 30. Oktober 2020 verfügbar. Nun haben sie Details zu den Lücken veröffentlicht.
(des)
