Dipl.-Inform. Carsten Eilers

Das wird jetzt etwas hässlich. Aber ICH kann nichts dafür, wenn Patches Schwachstellen nicht beheben und/oder neue Schwachstellen aufreißen und/oder Security Advisories vom Hersteller aus dem Netz genommen und deshalb vom Entdecker der Schwachstellen eigene Advisories nachträglich veröffentlicht werden.

Ich habe mich in diesem Fall dazu entschlossen, mit der ersten Veröffentlichung der Schwachstellen zu beginnen. Und das war das Security Advisory von D-Link. Dass es nur noch über archive.org gibt, wie fast alle Advisories von D-Link. Denn D-Link hat die Advisories bei sich gelöscht, und wenn sie nicht vorher von archive.org erfasst wurden, sind sie nun verloren. Aber keine Angst: Die Schwachstellen sind trotzdem noch da. Und weil keiner mehr gucken kann, ob es was zu patchen gibt, werden sie noch sehr lange erhalten bleiben. Schrieb ich gerade "keine Angst"? OK, also: "DON'T PANIC!"

Am 15. Februar hat D-Link zwei von Samuel Huntley gefundene Schwachstellen im Router DIR-645 behoben. Eine Pufferüberlauf-Schwachstelle erlaubte das Einschleusen beliebigen Codes, eine Schwachstelle im HNAP-Interface das Einschleusen von Shell-Befehlen.

Am 10. April beschrieb Craig Heffner Schwachstellen im Router DIR-890L: Über HNAP lassen sich Befehle einschleusen. Wie sich herausstellte, ist dass die gleiche Schwachstelle wie die von Samuel Huntley gefundene und im Februar im DIR-645 behobene Schwachstelle. Laut Craig Heffner sind mindestens die folgenden Geräte betroffen, zumindest verwenden sie die betroffene Firmware:

HNAP lässt sich nicht ausschalten, und wenn die Fernwartung aktiviert ist, ist ein Angriff auch aus dem Internet heraus möglich. Zum Glück kann man wenigstens die Fernwartung ausschalten.

D-Link behob die Schwachstelle (und weitere), aber schon der Patch für die Schwachstelle im DIR-645 sah laut Craig Heffner "pretty shitty" aus. Also hat er sich den Patch mal genauer angesehen. Sie ahnen schon, wie es weiter geht? Richtig:

14. April - Die Schwachstellen sind noch da, plus einem Bonus!

Am 14. April veröffentlichte Craig Heffner eine Analyse des Patches: Die Schwachstellen wurden nicht behoben, und beim Versuch, eine Pufferüberlauf-Schwachstelle zu beheben, baute D-Link auch noch eine neue Pufferüberlauf-Schwachstelle ein. Also: Setzen, 6!

Ein Metasploit-Modul zum Test der Command-Injection-Schwachstelle steht zur Verfügung.

13. November - Advisories zu etlichen D-Link-Schwachstellen veröffentlicht

Nachdem D-Link seine Security Advisories gelöscht hat, hat Samuel Huntley seine eigenen auf mehreren Mailinglisten veröffentlicht, damit die Schwachstellen weiterhin öffentlich dokumentiert sind. Da ist einiges bei zusammen gekommen, die Übersicht folgt in der nächsten Folge. Hier sollen nur zwei der Advisories Erwähnung finden. Alle darin beschriebenen Schwachstellen wurden am 22. Januar 2015 entdeckt und am 15. Februar 2015 behoben. Oder auch nicht.

• Dlink DIR-645 UPNP Buffer Overflow
  Die oben schon erwähnten Pufferüberlauf- und Command-Injection Schwachstellen.
• Dlink SSDP command injection using UDP for a lot of Dlink routers including DIR-815, DIR-850L
  Ein unauthentifizierter Angreifer kann über eine Schwachstelle in SSDP aus dem LAN beliebige Shellbefehle einschleusen.
  Die Schwachstelle betrifft DIR-815, 850L und fast alle anderen D-Link-Router ("most of Dlink routers").

Wie erfolgreich D-Links Patchversuche waren wird die Zukunft zeigen. In der nächsten Folge gibt es wie schon erwähnt die Übersicht über die restlichen von Samuel Huntley veröffentlichten Schwachstellen.

Carsten Eilers