Löchrige Router bei D-Link und Trendnet

27.02.2015 17:17 Uhr Fabian A. Scherschel

In einer Sammlung von Routern der Hersteller D-Link und Trendnet klaffen mehrere Lücken, durch die Angreifer unter Umständen das Gerät übernehmen können. Bis jetzt hat nur Trendnet mit Updates reagiert.

Eine ganze Reihe von Sicherheitslücken [1] bedroht mehrere Router-Modelle von D-Link und Trendnet. Im schlimmsten Fall, nämlich wenn der Remote-Zugriff aktiviert ist, können Angreifer die Einstellungen dieser Router aus der Ferne manipulieren, wenn sie Nutzer auf eine vorbereitete Webseite locken können. Die entsprechenden Geräte sind auf jeden Fall aus dem lokalen Netz angreifbar. Trendnet hat mit einem Patch reagiert, D-Link stellt sich bis jetzt tot.

Entdeckt wurden die Lücken von Peter Adkins, der vor kurzem bereits Sicherheitsprobleme mit Netgear-Routern [2] öffentlich gemacht hatte. Obwohl er seine Erkenntnisse nach eigenen Angaben bereits am 11. Januar an D-Link gemeldet hatte, warte er seit dem ersten Kontakt mit deren Sicherheits-Abteilung am 14. Januar auf weitere Antwort. Trendnet hingegen hatte am 10. Februar Updates für die Firmware seiner Router veröffentlicht.

Welche Geräte sind betroffen?

Die Lücken befinden sich in mehreren Diensten, die auf den Routern laufen. Unter anderem in der Diagnose-Funktion ping.ccp und im Upgrade-Helfer für die Firmware, der von einem Dienst namens ncc beziehungsweise ncc2 mit Root-Rechten ausgeführt wird. Ein anderes Diagnostik-Tool namens UDPServer hat ebenfalls Löcher.

Laut Adkins enthalten folgende Router-Modelle die Lücken:

D-Link DIR-820L (Rev A), Firmware-Version 1.02B10 und 1.05B03
D-Link DIR-820L (Rev B), Firmware-Version 2.01b02
TRENDnet TEW-731BR (Rev 2), Firmware-Version 2.01b01

Folgende Modelle sind wahrscheinlich ebenfalls angreifbar, was Adkins allerdings selbst nicht verifizieren konnte:

D-Link DIR-808L (Rev A), Firmware-Version 1.03b05
D-Link DIR-810L (Rev A), Firmware-Version 1.01b04
D-Link DIR-810L (Rev B), Firmware-Version 2.02b01
D-Link DIR-826L (Rev A), Firmware-Version 1.00b23
D-Link DIR-830L (Rev A), Firmware-Version1.00b07
D-Link DIR-836L (Rev A), Firmware-Version1.01b03
TRENDnet TEW-711BR (Rev 1), Firmware-Version 1.00b31
TRENDnet TEW-810DR (Rev 1), Firmware-Version 1.00b19
TRENDnet TEW-813DRU (Rev 1), Firmware-Version 1.00b23

Abhilfe schaffen

Betroffene Nutzer sollten als erstes jegliche Fernwartungs-Funktionen der Geräte abschalten, um den Router gegen Angriffe aus dem Netz zu schützen. Außerdem kann man versuchen, unbefugten Geräten den Zugang zum lokalen Netz zu verwehren – etwa mittels MAC-Filterung. Das sind allerdings nur Not-Pflaster, das weitere Vorgehen hängt davon ab, ob man ein D-Link- oder ein Trendnet-Router besitzt. Trendnet-Nutzer sollten sich so schnell wie möglich die abgedichtete Firmware 2.02b01 vom Hersteller [3]besorgen und das Gerät aktualisieren. D-Link-Nutzer müssen warten, bis sich die Firma des Problems annimmt. (fab [4])

URL dieses Artikels:
https://www.heise.de/-2561211

Links in diesem Artikel:
[1] https://github.com/darkarnium/secpub/tree/master/Multivendor/ncc2
[2] https://www.heise.de/news/Die-Geister-die-ich-rief-Netgear-Router-ueber-Genie-App-angreifbar-2553224.html
[3] http://www.trendnet.com/support/
[4] mailto:contact@fab.industries