Menü
Alert!
Security

Sicherheitslücken-Cocktail bringt D-Link-Router zu Fall

Ein Sicherheitsforscher kombiniert drei Sicherheitslücken und erlangt die volle Kontrolle über D-Link-Router. Patches gibt es noch nicht.

Von
vorlesen Drucken Kommentare lesen 2 Beiträge
Sicherheitslücken-Cocktail bringt D-Link-Router zu Fall

(Bild: geralt)

Verschiedene Router-Modelle von D-Link sind verwundbar und Angreifer könnten durch eine Verkettung von Sicherheitslücken die volle Kontrolle über Geräte erlangen. Das hat ein Sicherheitsforscher demonstriert und sein Ergebnis in einem Beitrag festgehalten.

Welche Modelle und Firmware-Versionen davon betroffen sind, listet er in seinem Text auf. Sicherheitsupdates gibt es derzeit noch nicht. D-Link versicherte gegenüber heise Security, dass sie den Fall derzeit noch untersuchen – Patches stehen in Aussicht.

Der Sicherheitsforscher startet mit der Ausnutzung einer Directory-Traversal-Lücke (CVE-2018-10822). Darüber kann er aus der Ferne Dateien in bestimmten Verzeichnissen lesen. In dieser Position greift er auf das Admin-Passwort zu, das unverschlüsselt vorliegt (CVE-2018-10824). Damit ausgerüstet kann er sich authentifizieren und über eine Shell-Command-Injection-Lücke (CVE-2018-10823) eigenen Code ausführen. In diesem Fall gilt der Router als kompromittiert. (des)