D-Link will Router-Schwachstelle nicht mehr fixen

[English]In den D-Link-Routern DIR-652, DIR-655, DIR-866L und DHP-1565 gibt es eine kritische Remote Execution-Schwachstelle, die der Hersteller aber nicht mehr beheben will.


Anzeige

Ich weiß nicht, ob es überhaupt Blog-Leser/innen betrifft – stelle die Information aber trotzdem mal hier als Kurzfassung ein.

RCE-Schwachstelle in der Firmware

Sicherheitsforscher von Fortinet haben kürzlich eine gravierende Schwachstelle in den D-Link-Routern DIR-652, DIR-655, DIR-866L und DHP-1565 aufgedeckt. Die aktuelle Firmware dieser Geräte weist eine “nicht authentifizierte Befehlsinjektionsschwachstelle” auf, die eine Remotecodeausführung ermöglichen könnte.

In Kurzfassung: Hacker auf der ganzen Welt könnten ziemlich die betroffenen Router kapern und diesen für eigene Zwecke wie Crypto-Mining, Botnetze oder Umleitung des Internetverkehrs zur Überwachung oder zum Aufrufen bösartiger Websites missbrauchen. Details zur Schwachstelle lassen sich bei Fortinet nachlesen.

DIR-652, DIR-655, DIR-866L und DHP-1565 sind EOL

Normalerweise wäre so eine Sicherheitslücke kein Problem: Der Hersteller stellt ein Firmware-Update bereit, welches installiert wird und die Schwachstelle schließt. Tom’s Guide berichtet nun in diesem Artikel, dass der Anbieter D-Link keine neue Firmware zum Beheben der Schwachstelle bereitstellen will.

Die Begründung lautet, dass die genannten Modelle das Supportende (End of Life, EOL) erreicht hätten. D-Link habe dies, so der obige Artikel, den Fortinet-Sicherheitsforschern so mitgeteilt, als diese die Schwachstelle an den Hersteller meldeten. Das ist einerseits zwar verständlich, dass man alte Modelle nach deren Lebensende nicht mehr im Support hält. Andererseits sind die genannten Modelle wohl noch im Verkauf.

Die Router werden zumindest bei einer stichprobenartigen Kontrolle auch in Deutschland (z.B. auf Amazon) noch angeboten. Und da wird die ganze Geschichte unschön, so dass man eigentlich vom Kauf von dLink-Produkten absehen sollte.

Ähnliche Artikel:
D-Link-Router über Sicherheitslücken kompromittierbar
Firmware-Update für D-Link DIR-850L Router
Sicherheitsmängel: D-Link DWR-932B LTE-Hotspot
Neues zu Privdog, Superfish, D-Link-Lücke und mehr
Routerlücken bei Trendnet und D-Link


Anzeige
Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu D-Link will Router-Schwachstelle nicht mehr fixen


  1. Anzeige
  2. Doc WP sagt:

    Es ist schon schade, dass Router nur 4 Jahre supportet werden und sogar noch neu verkauft werden, nachdem der Support beendet wurde. Rechtlich ist das vermutlich einwandfrei, da die Geräte nicht mehr hergestellt werden. Erfahrungsgemäß halten Router aber viel länger, und sie sitzen natürlich im Haushalt an einer sicherheitskritischen Stelle.
    AVM gibt da ein gutes Beispiel, da gibt es auch oft noch Updates für deutlich ältere Geräte. Ich habe hier auch noch einen Lancom Router von 2011, der ist zwar auch aus dem Support gefallen, er bekam dann aber noch letztes oder vorletztes Jahr ein Sicherheitsupdate, nachdem eine kritische Lücke bekannt wurde. D-Link Router würde ich dann doch eher nicht kaufen, auch wenn sie etwas preiswerter sind.

  3. Sven Fischer sagt:

    Ist bei D-Link auch nicht das erste Mal. Da gab es in der Vergangenheit, einige solcher Vorfälle.
    https://www.golem.de/news/sicherheitsluecken-router-von-d-link-koennen-komplett-uebernommen-werden-1810-137175.html

    Da mache ich um die Router, seit Jahren, einen gr0ßen Bogen darum.

  4. Anzeige

  5. oli sagt:

    Solche Probleme kann man nur politisch lösen, am besten EU-weit. Warum das nicht schon längst (zumindest in D) geschehen ist, ist mir sowieso ein Rätsel. E-Schrott wird jedenfalls so immer mehr…

    Von D-Link Routern kann man ansonsten eh nur noch abraten. Viel zu viele Sicherheitslücken, die dann nicht gestopft werden (das hier ist nicht die erste Schwachstelle in D-Link Routern).

  6. MK sagt:

    Wobei das ein Gewährleistungsmangel sein dürfte, d.h. der Händler haftet zwei Jahre für die Beseitigung des Problems bzw. die Rückabwicklung des Kaufvertrags. Und der wird D-Link dann schon sagen was er davon hält.

  7. Homer sagt:

    Moin,

    wenn immer ich in meinen Bekannten/ Freundeskreis auf alte D-Link Router stoße spiele ich generell eine alternative Firmware von DD-WRT ein und gemäß Database ist der oben genannte D-Link DIR-866L im Support.

  8. Micha sagt:

    5 Jahre sind aber keine lange Zeit. Router halten im Normalfall viel länger. Mit so einer Maßnahme erzeugt man nur wieder viel neuen Elektroschrott. Weshalb man ein abgekündigtes Produkt weiter verkauft ist mir auch Rätselhaft.

    Am Beispiel der AMD A6 5200 APU kann man sehen das Hersteller auch mal bei EOL Produkten einlenken. Die Radeon HD 8400 war im Jahr 2015 schon mal EOL. Mittlerweile erhält sie wieder regelmäßig Treiberupdates.

    Der Ansatz Software as a Service könnte aber zu ähnlichen Problemen führen. Geräte die keine Treiberupdates mehr erhalten werden recht schnell zu neuen Windowsversionen inkompatibel werden.

    Ein Beispiel ist dafür mein Intel Pentium 4. (2,8GHz Northwood, Intel Bonanza 875 PBZ, 2,5GB DDR1 RAM im Dual Channel modus, Radeon HD 3850, Creativ Soundkarte) Der wurde eigentlich für Windows 98, XP entwickelt. Windows 7 läuft da aber auch problemlos drauf. Man kann also eine 16 Jahre alte Plattform nutzen um ein aktuelles Betriebssystem drauf auszuführen. Mit immer effizienter werdenden Browsern (FireFox Quantum) kann man den dann auch zum Surfen im Internet nehmen. HD TV war dank der Radeon HD 3850 kein Problem da die H264 Beschleunigung funktioniert.

    Das habe ich mal gemacht wo meinen neueren PC die Grafikkarte defekt war. Ich war positiv überrascht was alles problemlos auf der Uralt Kiste lief.

  9. Anzeige

  10. Tom sagt:

    Habe hier noch einen D-LINK DIR 615-H1 rumliegen, den ich mal bei Gelegenheit mit einer Firmware von DD-WRT blitzen werde.
    Ob ich den noch jemals zu irgendwas(WLAN-Verstärker) benutzen werde – ???

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.