Zum Thema 6 Kerne

Dlink 850L: Lieber den Stecker ziehen!

reported by doelf, Freitag der 15.09.2017, 11:48:54 Uhr

Dlinks Gigabit-Cloud-Router 850L kann aufgrund zahlreicher kritischer Schwachstellen schnell in einen beklauten Router mutieren. Der Sicherheitsexperte Pierre Kim hat sich das Gerät angesehen und ist dabei auf eine große Zahl haarsträubender Schwachstellen gestoßen. Seine Empfehlung lautet: Sofort den Stecker ziehen.

Kim hat Dlink kalt erwischt: Da sich der Sicherheitsforscher in der Vergangenheit schon mehrfach über die langsamen und unzureichenden Reaktionen des Herstellers geärgert hatte, stellte er seine Analyse diesmal ohne jegliche Vorwarnung ins Netz. Und das ist besonders bitter, da Kim beide Hardware-Revisionen des Routers vollständig unter seine Kontrolle bringen konnte - bis hin zum Austausch der Firmware. Sein Fazit: "Der Dlink 850L ist ein durch und durch schlecht entworfener Router mit vielen Schwachstellen."

Ungeschützte Firmware und XSS-Schwachstellen
Die aktuelle Firmware für die erste Revision des Dlink 850L ist gar nicht geschützt, so dass man leicht manipulierte Versionen erstellen kann. Die Firmware für die zweite Revision hat Dlink zumindest verschlüsselt, doch ein fest im Code hinterlegter Schlüssel lässt sich leicht knacken und Kim legt das passende Programm gleich dazu. Das zweite Fail leistet sich Dlink in diversen PHP-Dateien, die Kim im Ordner "/htdocs/web" vorfand. Diese enthalten etliche Fehler, die triviale XSS-Angriffe (Cross-Site-Scripting) auf angemeldete Benutzer ermöglichen. Der Angreifer kann dabei Cookies stehlen, welche der Router zur Authentifizierung seiner Benutzer verwendet.

Fremdschämen beim Fremdregistrieren
Das Script "register_send.php" im Root-Verzeichnis des Routers kann von jedem ohne vorherige Anmeldung aufgerufen werden. Es wird benötigt, um das Gerät beim Cloud-Dienst myDlink anzumelden. Angreifer können über das Script ein MyDlink-Konto anlegen und den Router für dieses Konto registrieren. Der Router übermittelt hierbei das Admin-Passwort im Klartext an die Cloud-Plattform. Auch bei GET- und PUT-Aufrufen wird das Passwort im Klartext übertragen. Um das Passwort abzugreifen, hat Kim die offizielle NPAPI-Erweiterung von Dlink im Firefox 50 (für neuere Firefox-Versionen gibt es keine passende Erweiterung) installiert und sich schlicht und einfach den HTTP-Verkehr mit den integrierten Entwickler-Werkzeugen des Browsers angesehen.

Cloud-Protokoll ist eine Lachnummer
Die NPAPI-Erweiterung stellt automatisch einen Tunnel zum Router her, der über die Serverdienste von Amazon geleitet wird. Bei dem hierbei eingesetzten proprietären Cloud-Protokoll MyDlink handelt es sich laut Kim um eine simple TCP-Weiterleitung, die ohne bzw. mit einer unzureichenden Verschlüsselung arbeitet. Während einige Daten den Tunnel im Klartext passieren, verwendet Dlink für verschlüsselte Übertragungen selbst signierte Zertifikate und verzichtet auf Gültigkeitsprüfungen. Bei einem Mittelsmann-Angriff lässt sich dieser Schutz leicht brechen. Für seinen Praxisversuch kaperte Kim das ungeschützte Skript "register_send.php" von außen und funktionierte dieses zum Proxy-Server um. Dann übernahm er den Router vollständig.

Backdoor, Code ausführen, DoS
Wenn man den Router zurücksetzt, richtet dieser den Root-Nutzer "Alphanetworks" mit dem Passwort "wrgac25_dlink.2013gui_dir850l" ein. Dieser Zugang funktioniert zwar nur über Ethernet, doch eine Hintertüre fehlte in dieser Sammlung des Schreckens. Die DNS-Konfiguration lässt sich ohne vorherige Anmeldung über das Script "htdocs/parentalcontrols/bind.php" ändern, die Zugriffsrechte für Passwörter und Hashes sind mangelhaft und die Schlüssel wurden in der Firmware hinterlegt. Über manipulierte DNS-Einträge lassen sich dem DHCP-Client Befehle unterschieben, die dieser mit Root-Rechten ausführt. Dummerweise reicht der Dlink 850L die manipulierten Einträge an andere Geräte im lokalen Netzwerk weiter. Was fehlt noch? DoS-Lücken? Die hat Kim ebenfalls gefunden.

Was bleibt, ist ein schmuckes Stück Hardware mit zahlreichen Funktionen, die leider allesamt so stümperhaft umgesetzt wurden, dass man dieses Gerät lieber nicht im eigenen Netzwerk sehen möchte. Fail! Fail! Fail!

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]