Menü
Alert!
Security

D-Link schließt hochkritische Router-Lücken

Von
vorlesen Drucken Kommentare lesen 114 Beiträge

Der Netzwerkausrüster D-Link hat am Mittwochabend doch Firmwareupdates für die Modelle DIR-300 und DIR-600 veröffentlicht, um kritische Lücken abzudichten. Zuvor hatte heise Security berichtet, dass ein Angreifer diese Router mit minimalem Aufwand aus der Ferne steuern und etwa das Zugangspasswort auslesen kann. Da der Hersteller zunächst keinen Patch liefern wollte, hatte sich sogar das LKA Niedersachsen eingeschaltet. Es befürchtete offenbar, dass die Besitzer der betroffenen Geräte reihenweise Opfer von Hackerangriffen werden.

Neue überarbeiteten Firmware-Versionen gibt es für DIR-300 Rev.B sowie den DIR-600 in Rev.B1, B2 und B5:

Laut D-Link ist das Einschleusen von Befehlen mit den neuen Firmware-Versionen nicht länger möglich, da nun die Zugangsberechtigung abgefragt werde. Entdeckt hatte die Schwachstellen der Sicherheitsexperte Michael Messner, der sie bereits im Dezember vergangenen Jahres an den Hersteller meldete. Da D-Link ihm gegenüber jedoch ankündigte, die Lücken nicht schließen zu wollen, veröffentlichte er die Details vergangenen Montag in seinem Blog.

Messner entdeckte neben dem oben beschriebenen Sicherheitsproblem noch zahlreiche weitere – unter anderem, dass der Router das Admin-Passwort im Klartext abspeichert und man beim Ändern das Passwort nicht nach dem alten gefragt wird. Wie viele der Lücken die neue Firmware abdichtet – und wie zuverlässig dies geschieht –, ist momentan noch unklar.

D-Link begründete gegenüber heise Security die wenig rühmliche Abwicklung mit "Kommunikationsproblemen". Man habe bereits seit dem Hinweis des Sicherheitsexperten an einer abgesicherten Firmware gearbeitet. Das Unternehmen empfiehlt den Besitzern der betroffenen Geräte, die neuen Firmware-Versionen umgehend einzuspielen. (rei)