IT-Sicherheit: Backdoor in Firmware von D-Link-Routern

    , 15.10.2013
    Tags: , ,

    Ein Fachmann der amerikanischen IT-Security-Firma Tactical Network Solutions hat eine ernst zu nehmende Schwachstelle in der Firmware von Routern des Herstellers D-Link entdeckt. In einem Blog-Beitrag von Craig Heffner, einem Mitarbeiter von Tactical Networks, sind Details zur Schwachstelle zu finden.

    Ein Effekt des "Backdoors": Ein Angreifer kann Änderungen an den Konfigurationseinstellungen der Router vornehmen, ohne sich zuvor zu authentifizieren. So lässt sich der Datenverkehr umlenken, der über einen solchen Router läuft. Zudem können Hacker unverschlüsselte Daten mitlesen.

    Zugang zu D-Link-Router DI-524UP ohne Eingabe von Log-in-Daten (Bild: Craig Heffner, Tactical Networks Solutions)Der Zugang zur Web-basierten Benutzeroberfläche der Systeme erfordert im Normalfall die Eingabe eines Nutzernamens und eines Passworts - auch wenn viele User fahrlässiger Weise die Default-Einstellungen belassen, die sich auf einfache Weise durch Googeln herausfinden lassen.

    Entwickler haben Backdoor implementiert

    Laut Heffner enthält die aktuelle Firmware eine Hintertüre (Backdoor). Der Experte vermutet, dass die Entwickler der Firmware diese bewusst integrierten, weil einzelne Programme und Services in der Lage sein müssen, bestimmte Router-Einstellungen selbstständig anzupassen. Von D-Link gab es Heffner zufolge keine Erläuterung dafür, weshalb der Hersteller bewusst eine solche Hintertüre in seine Systemsoftware integriert hat.

    Der Programmcode (String), den die D-Link-Entwickler einfügten, nach Angaben von Heffner bereits vor drei Jahren in russischen IT-Foren veröffentlicht. Somit dürfte die Wirkungsweise des Strings bekannt sein, möglichweise auch Cyber-Kriminellen.

    Welche Router die Schwachstelle aufweisen

    Nach Angaben von Craig Heffner sind folgende D-Link-Router betroffen: DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 und möglicherweise auch der DIR-615. Auch der BRL-04UR und BRL-04CW, die von Planex Communications stammen, könnten das Backdoor aufweisen, weil sie dieselbe Firmware zu verwenden scheinen, so der Fachmann.

    Dazu gilt es jedoch anzumerken, dass etliche dieser Systeme bereits abgekündigt wurden und nicht mehr im Handel verfügbar sind.

    Gegenmaßnahmen

    D-Link hat mittlerweile auf seiner britischen Support-Web-Seite Informationen zur Sicherheitslücke veröffentlicht. In Kürze will das Unternehmen neue, Backdoor-freie Firmware-Versionen bereitstellen. In der Zwischenzeit sollten Nutzer folgende Vorkehrungen treffen:

    • E-Mails ignorieren, die vermeintlich von D-Link oder dessen Vertriebspartnern stammen und in denen User aufgefordert werden, bestimmte Software auf ihren Systemen zu installieren. Dies könnte sich um Versuche von Hackern handeln, mittels Schadsoftware Zugang zu Routern zu erhalten;
    • WLANs mittels WPA/WPA2-Verschlüsselung sichern;
    • den Fernzugriff auf D-Link-Router deaktivieren. In der Grundeinstellung ist das bereits der Fall, kann jedoch vom User geändert werden, etwa für Support-Zwecke.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Bernd Reder
    Bernd Reder ist seit über 20 Jahren als Journalist zu den Themen IT, Netzwerke und Telekommunika­tion tätig. Zu seinen beruflichen Sta­tionen zählen unter anderem die Fachtitel "Elektronik" und "Gateway".
    Bei der Zeitschrift "Network World" war Reder als stellver­tretender Chefredakteur tätig. Von 2006 bis 2010 baute er die Online-Ausgabe "Network Computing" auf.
    Derzeit ist Bernd Reder als freier Autor für diverse Print- und Online-Medien sowie für Firmen und PR-Agenturen aktiv.
    // Kontakt: E-Mail, XING //

    Ähnliche Beiträge

    Weitere Links