Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Monday, May 6, 2013

D-Link router vulnerabilities

http://www.heise.de/security/meldung/D-Link-schliesst-Router-Luecken-und-schweigt-1814843.html
Entgegen dem Motto "Tue Gutes und rede darüber" hat D-Link im November vergangenen Jahres kritische Lücken in seinem büchsenförmigen WLAN-Router DIR-645 geschlossen, ohne es seinen Kunden mitzuteilen. Wer im Kundenbereich nach Firmware-Updates schaut, findet dort eine Version 1.03b11 vom 12. Oktober vergangenen Jahres, die im beigefügten Changelog unter anderem Verbesserungen in puncto IPv6 und iOS-6-Kompatibilität verspricht. Hinweise auf sicherheitsrelevante Änderungen gibt es nicht – hat der Router bislang fehlerfrei seinen Dienst verrichtet, wird man wohl kaum das Bedürfnis verspüren, das Update einzuspielen. Auch auf der eigens eingerichteten Sicherheitsseite erwähnt der Hersteller das Update nicht.
Die Suchergebnisse des Online-Scanner Shodan bestätigen diesen Eindruck: Von 150 Routern dieses Typs, die auf die Anfragen des Scanners über das Internet antworteten, war nur auf sechs die aktuelle Firmware installiert. Und das ist durchaus problematisch: Wie ein Sicherheitsforscher herausgefunden hat, haben ältere Versionen nämlich die Angewohnheit, unter anderem das Admin-Passwort im Klartext rauszurücken. Hierzu genügt ein simpler curl-Befehl:
curl -d SERVICES=DEVICE.ACCOUNT http:///getcfg.php
heise Security konnte das Problem nachvollziehen. Gegenüber heise Security bestätigte D-Link die Aussage des Sicherheitsexperten, dass die Lücken tatsächlich mit dem Update auf die aktuelle Firmware-Version geschlossen werden. Wer den DIR-645 im Einsatz hat, sollte also umgehend ein Update durchführen. Denn, selbst wenn der Router nicht über das Internet erreichbar ist, will man verhindern, dass andere Nutzer im lokalen Netz mit minimalem Aufwand das Passwort auslesen können. (rei)

English Version: D-Link fixes router vulnerabilities very quietly

No comments: