D-Link-Router über Sicherheitslücken kompromittierbar

[English]Betreibt jemand einen D-Link-Router? In acht Modellen gibt es gleich mehrere Sicherheitslücken, über die die Geräte vollständig kompromittierbar sind.


Anzeige

Schwachstellen in D-Link-Routern

Ich hatte es kürzlich bereits bei seclists.org gesehen, komme aber erst jetzt dazu, das in einem Beitrag aufzubereiten. In einem Eintrag Multiple vulnerabilities in D-Link routersvom 12. Oktober 2018 beschreibt Błażej Adamczyk gleich eine ganze Sammlung an Sicherheitslücken.

Directory Traversal-Lücke im httpd Server

Die Schwachstelle CVE-2018-10822 (Directory traversal vulnerability) besteht in der Weboberfläche folgender D-Link Router:

– DWR-116 bis 1.06,
– DIR-140L bis 1.02,
– DIR-640L bis 1.02,
– DWR-512 bis 2.02,
– DWR-712 bis 2.02,
– DWR-912 bis 2.02,
– DWR-921 bis 2.02,
– DWR-111 bis 1.01

Es wird vermutet, dass wahrscheinlich auch andere Modelle mit der gleichen Art von Firmware angreifbar sind. Die Schwachstelle ermöglicht es Angreifern remote beliebige Dateien über Angaben der Art /… oder // zu lesen. Diese Schwachstelle besteht aufgrund einer falschen Behebung der Schwachstelle CVE-2017-6190.

Die Schwachstelle kann mit der Schwachstelle CVE-2018-10824 verwendet werden, um das Administratorkennwort mit Abfragen der Art:

$ curl http://routerip/uir//etc/passwd

abzurufen.

Passwort im Klartext gespeichert


Werbung

In mehreren Modellen von D-Link-Routern wird das Passwort im Klartext gespeichert. Die Schwachstelle  CVE: CVE-2018-1082424 betrifft folgende Router-Modelle:

– DWR-116 bis 1.06,
– DIR-140L bis 1.02,
– DIR-640L bis 1.02,
– DWR-512 bis 2.02,
– DWR-712 bis 2.02,
– DWR-912 bis 2.02,
– DWR-921 bis 2.02,
– DWR-111 bis 1.01

und wahrscheinlich auch andere Router mit der gleichen Art von Firmware. Das administrative Passwort wird im Klartext in der Datei /tmp/XXX/0 (xxx ist ein Platzhalter) gespeichert. Ein Angreifer kann mit einem Directory-Traversal (oder LFI) problemlos vollen Zugriff auf den Router bekommen. Der Proof of Concept (PoC) Befehl (unter Verwendung der gleichzeitig offenbarten Directory Traversal Schwachstelle CVE-2018-10822) lautet:

$ curl http://routerip/uir//tmp/XXX/0

Dieser Befehl gibt eine binäre Konfigurationsdatei zurück, die Benutzername und Passwort des Admin sowie viele andere Router-Konfigurationen und Einstellungen enthält. Durch die Verwendung der Directory Traversal Schwachstelle ist es möglich, die Datei ohne Authentifizierung zu lesen. Diese Schwachstelle will der Hersteller bei Geräten, die aus dem Support gefallen sind, nicht beheben.

Shell Command Injection in httpd Server

In einer Reihe von D-Link-Routern ist eine Shell Command Injection im httpd Server möglich. Betroffen von CVE-2018-10823 sind folgende Geräte:

– DWR-116 bis 1.06,
– DWR-512 bis 2.02,
– DWR-712 bis 2.02,
– DWR-912 bis 2.02,
– DWR-921 bis 2.02,
– DWR-111 bis 1.01

und wahrscheinlich auch andere mit der gleichen Art von Firmware.  Ein authentifizierter Angreifer kann beliebigen Code ausführen, indem er die  Shell-Befehl in die chkisg.htm-Seite injiziert. Dies ermöglicht die volle Kontrolle über die Geräte.

Kombination der Schwachstellen

Durch Kombination dieser Schwachstellen werden die Geräte löchrig wie ein Schweizer Käse. Wenn man alle drei Schwachstellen zusammen nimmt, ist es einfach, die volle Kontrolle über den Router zu erlangen. Das schließt auch die Ausführung von beliebigem Code ein.

(Quelle: YouTube)

Eine Beschreibung mit Video findet sich unter http://sploit.tech/2018/10/12/D-Link.html. Interessant ist auch die Abfolge der Benachrichtigung des Herstellers:

– 09.05.2018 – Benachrichtigung von dLink
– 06.06.2018 – Nachfrage nach dem Status
– 22.06.2018 – Antwort, dass ein Patch freigegeben werde, aber nur für DWR-116 und DWR-111, für die anderen Geräte, die EOL sind, wird es nur eine ‘Ankündigung’ geben
– 09.09.2018 – noch keine Antwort des Anbieters über die Patches oder eine   Ankündigung. Warnung an D-Link, dass die Offenlegung in einem Monat erfolgt, wenn keine Antwort kommt.
– 12.10.2018 – Offenlegung der Schwachstellen


Anzeige
Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Responses to D-Link-Router über Sicherheitslücken kompromittierbar

  1. Chris sagt:

    Hallo Günther,

    gehört nur halb dazu, aber der Central WiFiManager von D-Link hat auch eine Sicherheitslücke. Siehe hier:https://eu.dlink.com/de/de/support/support-news
    Patch auch dort zu finden. Jedoch wird nicht gepatcht, sondern die alte Version deinstalliert und anschließend die neue Installiert. Wer kann, sollte vorher die Datenbank sichern und einen Snapshot vom Server machen.

    VG

  2. JohnRipper sagt:

    DLink eben

  3. Werbung

  4. Windoof-User sagt:

    Es gibt immer “Experten”, die die Fernsteuerung des Routers aktivieren.

    Jedoch “vergessen” alle “Sicherheitsexperten” über Dienste im Router, die sensible Daten bereitstellen und über lokalen Zugriff erreicht werden können, zu berichten. Ab Werk sind die relevanten Ports geöffnet und auch Software aus dem Hause Microsoft greift gerne auf diese Daten zu. Aber das ist für die “Sicherheitsexperten” keine Zeile wert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.