Root-Lücke in freier Router-Firmware DD-WRT

Die Verwaltungsoberfläche der freien Router-Firmware DD-WRT besitzt in der aktuellen stabilen Fassung eine Lücke, die es Angreifer erlaubt, auf dem Router Programme mit Root-Rechten zu starten. Die auf milw0rm und im DD-WRT-Forum beschriebene Lücke beruht auf der fehlenden Behandlung von Metazeichen beim Query-String in DD-WRTs Webserver httpd. Dieser führt selbst dann Programme aus, wenn niemand angemeldet ist.

Außerdem läuft die Verwaltungsoberfläche mit maximalen Rechten. Angreifer können daher über die Eingabe einer URL wie "http://routerIP/cgi-bin/;command_to_execute" auf dem System vorhandene Befehle respektive Programme mit Root-Rechten auf dem Gerät ausführen und somit die Kontrolle erlangen. Zwar erreicht man das Web-Interface bei DD-WRT standardmäßig nur über die LAN-Schnittstellen, doch lässt sich diese Einschränkung beispielsweise leicht mittels einer CSRF-Attacke (Cross-Site Request Forgery) umgehen – zumal die Lücke keine Anmeldung auf dem Webserver benötigt. Ein manipulierter IMG-Tag in einem Forum reicht aus und der Router steht unter der Kontrolle des Angreifers.

Laut DD-WRT-Entwickler Sebastian Gottschall steht bereits die fehlerbereinigte Firmware-Version "DD-WRT V24 preSP2" zum Download bereit. Weitere Informationen finden sich im DD-WRT-Forum. DD-WRT läuft auf Routern von Linksys, D-Link Buffalo, Asus und einigen anderen Herstellern. (rek)