DSL-News

D-Link: Firmware-Updates für DIR-300 und DIR-600 beheben Sicherheitslücke

Geschrieben am 07.02.2013, 09:30 Uhr von

D-Link DIR-600 mit Sicherheitslücken

D-Link veröffentlicht bei einigen seiner Router ein Firmware-Update. Dieses soll eine schwerwiegende Sicherheitslücke schließen. Betroffen sind die Modelle DIR-300 und DIR-600. Michael Messner hatte die Lücken bereits im Dezember entdeckt. Der Routerhersteller reagierte darauf aber erst als Messner die Lücke am Montag veröffentlichte.

Drucken


Linux-Befehle lassen sich mit Root-Rechten ausführen

In seinem Blog beschreibt Sicherheitsexperte Michael Messner Sicherheitslücken in D-Link-Routern. Relativ leicht lässt sich ein Angriff auf die Modelle DIR-300 und DIR-600 ausführen. Schlechte Zugangsbeschränkungen ermöglichen dies. Außerdem werden Eingaben nicht richtig validiert. Hacker können sogar das Passwort ändern. Möglich wird dies indem mit POST-Parametern Linux-Befehle mit Root-Rechten auf den Routern ausgeführt werden. Eine Authentifizierung ist dafür nicht nötig. Sowohl über das Netzwerk, als auch das Internet lässt sich die Lücke ausnutzen. Neben der Root-Lücke hat Messner auch weitere kleinere Sicherheitslücken entdeckt. So können selbst Laien das Root-Passwort auszulesen. Es ist im Klartext gespeichert.

Nachdem Messner bei D-Link mehrmals auf taube Ohren stieß. Entschloss er sich die Sicherheitslücken der Öffentlichkeit zu präsentieren. Laut D-Link sollte es sich um Probleme auf Anwendersicht bzw. bei dem verwendeten Browser gehandelt haben. Nun hat der Routerhersteller aber doch Firmware-Updates veröffentlicht. Möglicherweise auch weil das Landeskriminalamt Niedersachsen sich die Schwachstellen anschaute. Auf Anhieb konnte das LKA 80 verwundbare D-Link-Router in Deutschland finden, so bei Heise nachzulesen.

DIR-300 und DIR-600 sind betroffen

Für folgende Modelle sollte eine Aktualisierung durchgeführt werden:

  • D-Link DIR-300 (Revision B)
  • D-Link DIR-600 (Revisionen B1, B2 und B5)

Nutzer können auf der Unterseite des Routers herausfinden, welche Revision sie haben. Heruntergeladen werden kann das Sicherheits-Update unter ftp.dlink.de. Dort muss in das Verzeichnis @Sicherheitspatch navigiert werden. Im ZIP-Archiv hat D-Link eine TXT- und PDF-Datei platziert, die bei der Durchführung des Updates unterstützt.

D-Link DIR-600 mit Sicherheitslücken

Ohne Firmware-Update ein Risiko: D-Link DIR-600 (Bild: D-Link)

Drucken


The following two tabs change content below.

Konstantin Matern

Geschäftsführung & Leitung
Konstantin machte bereits 2003 bis 2007 seine Ausbildung bei der Deutschen Telekom AG. Heute betreibt er verschiedene Portale im Bereich der Telekommunikation. Auf DSL-Stadt.de schreibt er über verschiedene Themen und setzt sich für den Breitbandausbau (auch auf dem Land) ein.
tag_blue Schlagwörter: D-Link, DIR-300, DIR-600, Router, Sicherheit
Kommentar schreiben

Dein Kommentar