Dipl.-Inform. Carsten Eilers

D-Link scheint irgendwann im Laufe des Sommers auf eine "Vogel-Strauß"-Taktik gewechselt zu sein und hat die eigenen Advisories aus dem Netz genommen. Was Samuel Huntley, der etliche Schwachstellen in D-Link-Routern entdeckt und gemeldet hat, nicht gefallen hat. Damit die Schwachstellen weiterhin dokumentiert sind, hat er seine Advisories auf den entsprechenden Mailinglisten veröffentlicht. Hier kommen die davon, die nicht bereits zuvor erwähnt wurden.

13. November - Advisories zu etlichen D-Link-Schwachstellen veröffentlicht

Bei Samuel Huntleys Veröffentlichung der Advisories ist einiges zusammen gekommen, außer den beiden schon in der vorigen Folge beschriebenen Schwachstellen hat er auch noch die folgenden Schwachstellen entdeckt. Alle wurden am 26. April 2015 an D-Link gemeldet und am 17. Juli 2015 behoben. Oder man hat es zumindest versucht, denn das ist ja schon mal daneben gegangen. Wie erfolgreich man im Juli war wird die Zukunft zeigen.

• Dlink DGL5500 Un-Authenticated Buffer overflow in HNAP functionality
  Eine Pufferüberlauf-Schwachstelle in HNAP erlaubt unauthentifizierten Angreifern die Ausführung beliebigen Codes über WLAN, bei aktivierter Fernwartung auch aus dem Internet heraus. Ich schätze mal, aus dem normalen LAN dürfte der Angriff auch möglich sein.
• Dlink DIR-601 Command injection in ping functionality
  Authentifizierte Benutzer können über den ping-Befehl Shellbefehle einschleusen, bei aktivierter Fernwartung auch aus dem Internet heraus.
• Dlink DIR-615 Authenticated Buffer overflow in Ping and Send email functionality
  Authentifizierte Benutzer können über den ping-Befehl und das Skript zum Versenden von E-Mails Shellbefehle einschleusen.
• Dlink DIR-815 Buffer overflows and Command injection in authentication and HNAP functionalities
  Pufferüberlauf- und Command-Injection-Schwachstellen erlauben unauthentifizierten Angreifern die Ausführung beliebigen Codes und beliebiger Shellbefehle, bei aktivierter Fernwartung auch aus dem Internet heraus.
• Dlink DIR-817LW Buffer overflows and Command injection in authentication and HNAP functionalities
  Pufferüberlauf- und Command-Injection-Schwachstellen erlauben unauthentifizierten Angreifern die Ausführung beliebigen Codes und beliebiger Shellbefehle, bei aktivierter Fernwartung auch aus dem Internet heraus.
• Dlink DIR-818W Buffer overflows and Command injection in authentication and HNAP functionalities
  Mehrere Pufferüberlauf- und Command-Injection-Schwachstellen erlauben unauthentifizierten Angreifern die Ausführung beliebigen Codes und das Einschleusen beliebiger Shellbefehle, bei aktivierter Fernwartung auch aus dem Internet heraus.
• Dlink DIR-825 (vC) Buffer overflows in authentication,HNAP and ping functionalities and also directory traversal issue exists
  Mehrere Pufferüberlauf- und Command-Injection-Schwachstellen erlauben unauthentifizierten Angreifern und authentifizierten Benutzern die Ausführung beliebigen Codes und das Einschleusen beliebiger Shellbefehle, bei aktivierter Fernwartung auch aus dem Internet heraus.
• Dlink DIR-866L Buffer overflows in HNAP and send email functionalities
  Eine Pufferüberlauf-Schwachstelle in HNAP erlaubt unauthentifizierten Angreifern die Ausführung beliebigen Codes, eine weitere Pufferüberlauf-Schwachstelle im Skript zum Senden von E-Mails erlaubt authentifizierten Benutzern die Ausführung beliebigen Codes. Beide Schwachstellen können aktivierter Fernwartung auch direkt aus dem Internet heraus ausgenutzt werden.
• Dlink DIR-880L Buffer overflows in authenticatio and HNAP functionalities.
  Zwei Pufferüberlauf-Schwachstelle in HNAP und der Authentifizierung erlauben unauthentifizierten Angreifern die Ausführung beliebigen Codes, bei aktivierter Fernwartung auch aus dem Internet heraus.
• Dlink DIR-880L Buffer overflows in authenticatio and HNAP functionalities.
  Vermutlich das gleiche Advisory wie das davor.
• Dlink DIR-890L/R Buffer overflows in authentication and HNAP functionalities.
  Zwei Pufferüberlauf-Schwachstelle in HNAP und der Authentifizierung erlauben unauthentifizierten Angreifern die Ausführung beliebigen Codes, bei aktivierter Fernwartung auch aus dem Internet heraus.

Alle Schwachstellen können auch über CSRF ausgenutzt werden.

Dass sich die Schwachstellen so oft gleichen liegt daran, dass die Router-Hersteller (nicht nur D-Link) im Allgemeinen nur einige wenige Firmware-Varianten (wenn es nicht sogar nur eine einzige ist) verwenden, die nur an die jeweiligen Hardware angepasst werden. Dadurch "erbt" jedes Gerät natürlich auch die Schwachstellen im jeweiligen Firmware-Zweig. Und wenn die Schwachstellen nur in der Firmware für bestimmte Geräte behoben werden, bleiben die anderen Geräte, die den gleichen Firmware-Zweig verwenden, verwundbar. Manchmal, weil die Entwickler nicht weit genug gedacht haben, manchmal, weil "ältere" Geräte mit Absicht nicht mehr unterstützt werden. Wobei "ältere Geräte" auch durchaus sehr junge Geräte sein können, die von einem Nachfolger abgelöst wurden.

In der nächsten Folge kommen noch die Schwachstellen aus dem Januar 2015, danach geht es mit den letzen aktuellen Schwachstellen des Jahres weiter. Das klingt jetzt vielleicht verwirrend, war aber abzusehen. Wenn man Mitte des Jahres mit einem Überblick über die Schwachstellen des aktuellen Jahres beginnt und dabei zeitlich rückwärts geht, bleibt so ein Kuddelmuddel nicht aus. Aber das habe ich in Kauf genommen, denn der Anlass für diese Serie waren ja aktuelle Schwachstellen, die nur die Spitze des aktuellen Eisbergs "Router-Schwachstellen 2015" waren. Da bot es sich an, zu gucken, was denn davor los war. Und davor. Und davor. ...

Aber keine Angst: Wenn die letzten Schwachstellen des Jahres beschrieben sind werde ich alle Text zu Routern zu einem eBook zusammenfassen, in dem die Schwachstellen dann in chronologischer Reihenfolge aufgeführt sind. Ich fürchte, der Teil des eBooks wird dann ziemlich deprimierend sein.

Carsten Eilers