Älterer DSL-Modem-Router von D-Link vielfältig angreifbar
Der DSL-Router DSL-2640B ist über mehrere Schwachstellen attackierbar. Sicherheitsforschern zufolge wird es wohl keine Updates geben.
Wer einen DSL-Anschluss hat und den Modem-Router DSL-2640B von D-Link nutzt, sollte das Gerät aus Sicherheitsgründen vom Internet abklemmen. Sicherheitsforscher von Raelize haben in der Software des Geräts fünf gefährliche Sicherheitslücken entdeckt. Ihnen zufolge wird es wohl keine Sicherheitsupdates mehr geben.
Den DSL-Modem-Router gibt es bereits seit 2007. In einem Bericht schreiben die Sicherheitsforscher, dass das Geräts den End-of-Life-Status erreicht hat und dementsprechend keine Sicherheitsupdates mehr bekommt.
Auf der D-Link-Seite steht wiederum der Status End of Sale – laut dortiger Erklärung ist der Support in diesem Status noch gegeben. Die Antwort auf eine Anfrage von heise Security an D-Link steht noch aus. [UPDATE] Mittlerweile hat sich D-Link gemeldet. Eigenen Angaben zufolge untersuchen sie den Sachverhalt aktuell. Wenn ihnen weitere Informationen vorliegen, stellen sie Sichehreitsupdates in Aussicht.
Fünf Sicherheitslücken
Setzen Angreifer an den Schwachstellen an, könnten sie sich unter anderem Admin-Rechte für das Gerät verschaffen. Doch für die Ausnutzung einer entsprechenden Lücke (CVE-2020-9275) müsste ein Angreifer auf das Router-Interface zugreifen können. Dafür ist beispielsweise der WLAN-Zugriff vonnöten. Ist das gegeben, soll das alleinige Versenden eines präparierte UDP-Paketes an den Port 65002 ausreichen, um an das Admin-Passwort zu gelangen.
Noch schlimmer mutet eine weitere Schwachstelle (CVE-2020-9279) an: Hier könnten sich Angreifer einfach mit einem hard-codierten Admin-Account am Gerät anmelden.
Durch das Ausnutzen der weiteren Lücken (CVE-2020-9276, CVE-2020-9277, CVE-2020-9278) könnten Angreifer die Konfiguration von Geräten zurücksetzen, Authentifizierungsmaßnahmen umgehen und einen Speicherfehler (buffer overflow) auslösen. So etwas lässt Geräte in der Regel abstürzen. In vielen Fällen erlauben solche Speicherfehler sogar die Ausführung von Schadcode. In ihrem Beitrag führen die Sicherheitsforscher im Details aus, wie Attacken funktionieren könnten.
Die Sicherheitsforscher warnen davor, dass die Sicherheitslücken eventuell noch weitere Geräte betreffen könnten. Das haben sie aber nicht weiter geprüft. Ihnen zufolge ist D-Link in der Sache nicht hilfreich.
Gefährlichkeit
Eine Einstufung des Angriffsrisikos nennen die Sicherheitsforscher nicht. Das Notfallteam des Bundesamt für Sicherheit in der Informationstechnik (BSI) CERT-Bund vergibt für die Lücken die höchstmögliche Gefahreneinstufung "sehr hoch".
[UPDATE, 31.03.2020 13:25 Uhr]
Fließtext um Aussage von D-Link ergänzt.
[UPDATE, 22.04.2020 09:30 Uhr]
D-Link zufolge existieren die CVE-Nummern ihren Recherchen zufolge nicht. Außerdem teilt das Unternehmen mit, dass die Website mit den Ergebnissen der Sicherheitsforscher von einigen Browsern als Spam eingestuft wird. Sie stufen die Informationen als nicht vertrauenswürdig ein.
(des)