Mit einer ernstzunehmenden Schwachstelle in der Firmware seiner Router sieht sich Netzwerkequipment-Hersteller D-Link konfrontiert. Entdeckt hat sie der Sicherheitsberater Michael Messner.

Bei den betroffenen Geräten handelt es sich um die Modelle DIR-300 (Hardware Revision B1) und DIR-600, die 2004 bzw. 2007 erstmals verkauft wurden. Sie sind mittlerweile nicht mehr Bestandteil des Sortiments, könnten aber in vielen Haushalten und Büros noch im Einsatz sein. Eine Auflistung der betroffenen Firmwareversionen findet sich auf Messners Blog.

Einfache Kontrollübernahme möglich

Der aktuellen Betriebssoftware der Router (betroffen ist auch die Version 2.14b01 für den DIR-600 vom 22. Januar 2013) fehlen offenbar grundsätzliche Zugriffsbeschränkungen. Es ist ohne speziellem Aufwand möglich, beliebige Befehle per Telnet an die Geräte zu übermitteln. Dies ermöglicht auch Zugriff auf die Shell und somit Root-Rechte. Auf diese Weise lässt sich ihre Funktion beliebig manipulieren und beispielsweise der Datenverkehr umleiten, wie Heise berichtet.

Einige der Geräte können direkt über das Internet angesprochen werden. Doch selbst, wenn nicht, ist praktisch eine Fernsteuerung über eine manipulierte Website möglich. Als "Übermittler" der Kommandos dient hierbei der ahnungslose Nutzer. Ein weiterer Schwachpunkt ist, dass das Administratorpasswort für das Interface des Gerätes im Klartext in dessen Speicher hinterlegt wird, wenngleich ein Eindringling sich auch ganz ohne diesem ohne Beschränkungen austoben kann.

Keine Reaktion von D-Link

Eine Möglichkeit, die Lücke selbst zu stopfen, gibt es nicht. Zur Behebung ist ein Firmware-Update Seitens des Herstellers nötig.

Messner hat D-Link bereits Mitte Dezember auf das Problem hingewiesen. Dort wurde es zuerst als Browserproblem abgetan. Die Übermittlung weiterer Informationen blieb ohne Rückmeldung. Eine Aktualisierung der Router-Software scheint nicht in Sicht zu sein.

Update, 16:00:

Nun hat sich das Landeskriminalamt des deutschen Bundeslandes Niedersachsen eingeschaltet. Dort konnte man auf Anhieb 80 betroffene Router im ganzen Land ausfindig machen. Es wird erwogen, die Nutzer ausfindig zu machen, um sie zu warnen.

Dem dürfte allerdings D-Link zuvor kommen. Das Unternehmen hat mittlerweile reagiert und will noch im Laufe des heutigen Mittwochs ein Firmware-Update für die betroffenen Geräte zur Verfügung stellen, mit dem die Lücke behoben wird. (red, derStandard.at, 06.02.2013)