Abgekündigte Router-Modelle von D-Link: Kein Update für Firmware-Schwachstelle
Eine Schwachstelle in der Firmware von vier Routern, die EOL-Status erreicht haben, ermöglicht unauthentifizierten Fernzugriff. Updates wird es nicht geben.
Sicherheitsforscher von Fortinet haben Ende September in einigen älteren Router-Modellen des Herstellers D-Link eine Schwachstelle entdeckt, über die Angreifer aus der Ferne die vollständige Kontrolle über die Router übernehmen könnten.
Die Schwachstelle CVE-2019-16920 [1] wurde als kritisch eingestuft (CVSS-Score 9.8). Sie befindet sich laut der Forscher in der Firmware der Router-Modelle DIR-655C, DIR-866L, DIR-652 und DHP-1565 (einschließlich der jeweils aktuellsten Version).
Laut Fortinet steckt die Schwachstelle im Code, der für den Anmeldevorgang an den Routern verantwortlich ist (apply_sec.cgi). Mittels eines Command-Injection-Angriffs via HTTP POST lasse sich nicht nur die Authentifizierung umgehen (und etwa das Admin-Passwort abfragen), sondern auch beliebige Befehle auf dem verwundbaren Gerät ausführen (Remote Code Execution).
Weitere Details sind einem ausführlichen Blogeintrag von Fortinet [2] zu entnehmen. Knapper zusammengefasste Informationen liefert ein Sicherheitshinweis zur Schwachstelle [3].
Hersteller rät zum Umstieg
D-Link hat das Vorhandensein der Schwachstelle laut Fortinet zwar innerhalb von 24 Stunden bestätigt, wird sie jedoch nicht beseitigen. Der Grund: Die betroffenen Router haben den End-of-Life (EOL)-Status erreicht und erhalten grundsätzlich keine Updates mehr. Problematisch ist, dass einige der Router-Modelle trotz des EOL und veralteter Firmware weiterhin auf Verkaufsplattformen wie etwa Amazon oder eBay (auch in Deutschland) erhältlich sind.
D-Link rät in einem eigenen Sicherheitshinweis zu CVE-2019-16920 [4] dringend dazu, die Geräte durch aktuellere zu ersetzen. Wer sie weiterhin betreibe, handele auf eigene Gefahr.
(ovw [7])
URL dieses Artikels:
https://www.heise.de/-4548695
Links in diesem Artikel:
[1] https://nvd.nist.gov/vuln/detail/CVE-2019-16920
[2] https://www.fortinet.com/blog/threat-research/d-link-routers-found-vulnerable-rce.html
[3] https://fortiguard.com/zeroday/FG-VD-19-117
[4] https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10124
[5] https://www.heise.de/ratgeber/Neue-Aufgaben-fuer-alte-Router-OpenWrt-bedarfsgerecht-selber-kompilieren-4352029.html
[6] https://www.heise.de/thema/D_Link
[7] mailto:olivia.von.westernhagen@gmail.com
Copyright © 2019 Heise Medien