Internetanschluss und Tarife 23.312 Themen, 97.798 Beiträge

News: Volle Kontrolle ohne Passwort

Alarm: Zig Dlink-Router haben eingebaute Hintertür

Michael Nickles / 24 Antworten / Flachansicht Nickles

Diverse Router-Modelle des Herstellers Dlink haben eine geheime Hintertür, die einen Zugriff ohne jegliches Passwort ermöglicht. Das hat der Sicherheitsforscher Craig Heffner in einem Blog-Beitrag  berichtet. Heffner entdeckte die "Sicherhetislücke", als er die Firmware eines DIR-100 revA. Routers von Dlink untersuchte.

Mein D-Link DI-524. (Foto: mn)

Dabei fand er raus, dass die betroffenen Router auf eine Passwort-Abfrage verzichten, wenn sie den Code "xmlset_roodkcableoj28840ybtide" von einem Browser erhalten. Dazu muss der "User Agent" eines Browsers einfach entsprechend geändert werden.

Und dann wird ein "Besucher" einfach zu den Router-Einstellungen reingelassen. Vorraussetzung dafür ist wohl, dass im Router der Remote-Zugriff grundsätzlich aktiviert ist.

Dass es sich bei dieser Hintertür um ein Versehen handelt, ist praktisch auszuschließen. Denn: der in der Router-Firmware verankerte Code "xmlset_roodkcableoj28840ybtide" lautet rückwärts gelesen so: edit by 04882 joel backdoor" ("backdoor" = "Hintertür"). Ein Entwickler der Firmware hat also sehr wahrscheinlich gezielt eine Möglichkeit geschaffen, dass die betroffenen Router offen wie ein Scheunentor sind.

Und dieses offene Scheunentor ist nicht erst seit jetzt bekannt. Eine Google-Suche nach "xmlset_roodkcableoj28840ybtide" liefert beispielsweise einen Beitrag aus einem russischen Forum der von Anfang Januar 2010 stammt. Das offene Scheunentor dürfte in der Szene also bereits seit fast vier Jahren bekannt sein.

Im Online-Pressezentrum von Dlink gibt es bislang keine Mitteilung zur Sache. Allerdings kommuniziert Dlink das Dilemma inzwischen in seinem englischsprachigen Support-Forum im Beitrag Update on Router Security issue. Dort gibt es auch eine Liste, welche Router-Modelle betroffen sind und ob es eine aktualisierte Firmware für sie gibt oder wann eine erscheint, die das Sicherheitsloch flickt.

Hier die Liste der laut Hersteller betroffenen Router-Modelle:

DI-524 Revision A1
DI-524UP Revision A1/A2
DIR-100 Revision A1
DIR-120 Revision A1
DIR-300 Revision Ax
DIR-300 Revision Ax 1.06b02
DIR-300 Revision B1
DIR-300 Revision B1 2.14b01
DIR-600 Revision B1 and B2
DIR-600 Revision B1 and B2 2.15b01
DIR-600 Revision B5
DIR-600 Revision B5 2.16b05
DIR-615 Revision Dx
DIR-615 Revision Dx 4.14b02
DIR-645 Revision Ax
DIR-645 Revision Ax 1.04b05
DIR-815 Revision Ax
DIR-815 Revision Ax 1.04b02
DIR-845L Revision Ax
DIR-845L Revision Ax 1.01b02
DIR-865L Revision A1
DIR-865L Revision A1 1.05b07
DSL-320B Revision D2
DSL-320B Revision D2 1.25
DSL-321B Revision D2
DSL-321B Revision D2 1.02

Michael Nickles meint:

Im Forenbeitrag zur Sache erklärt Dlink eingangs, dass Sicherheit bei seinen Produkten von höchster Bedeutung sei. Das liest sich in diesem Fall wie ein Witz.

Dem Witz folgt dann eine lange Liste mit betroffenen Router-Modellen und zugehörigen Firmware-Updates, mit denen sich die Sicherheitslücke (der Sicherheitswitz) flicken lassen soll. Ein Großteil der Firmware-Updates soll erst Ende Oktober kommen.

Für Deutschland gibt es einen Hauch "Katastrophen"-Entwarnung - beziehungsweise einen derartigen Versuch. Ein Teil der betroffenen (älteren) Geräte werden in Deutschland Berichten zufolge angeblich inzwischen nicht mehr verkauft oder kamen bei uns gar nicht auf den Markt.

Wirklich viel bringt diese Info nicht, denn gewiss haben viele noch so einen "alten" Router in Betrieb. Auch ich bin übrigens betroffen, habe einen DI 524 (seit ca 2010 im Einsatz) und muss jetzt bis 31. Oktober warten, bis ein Firmware-Update kommt. Ich werde allerdings nicht warten, sondern den DI 524 ganz einfach an die Wand schmeißen.

Selbsterklärend werde ich nie mehr ein Produkt von Dlink einsetzen. Fehler passieren jedem Hersteller mal, aber in diesem Fall ist das Fass einfach rettungslos übergelaufen. Dass der Missbrauch der Hintertür wohl nur dann geht, wenn man im Router einen Remote-Zugriff zugelassen hat, entschärft die Sachlage nicht. Niemand kann ahnen, dass er damit das versteckte Scheunentor in dieser Dimension öffnet.

bei Antwort benachrichtigen
torsten40 Borlander „Das ist natürlich blöd. Ich war bislang davon ...“
Optionen
Das ist natürlich blöd. Ich war bislang davon ausgegangen, dass es bei da bei den FritzBoxen generell keine Probleme gäbe.

Wenn ich das da richtig gelesen habe, dann werden die Boxen per Seriennummer von der aktuellen Firmware ausgeschlossen. Das Webinterface sagt dir einfach, diese Firmware ist nicht passend, oder so Ähnlich. Grundsätzlich funktioniert, das flashen einer freien Firmware bei einer Brandingbox, nur über das rukerneltool. Dazu nochmal ein großes Lob an den Programmierer! Meine 7360 lies sich danach im vollem Umfang nutzen. Nachteil ist natürlich, Updates bekommt man weiterhin nur über das rukerneltool aufgespielt. Und hier muss man schon einige Einstellungen machen, sonst startet die Box nicht mehr. (Aber auch ein "Deadflash" geht mit dem Tool)

Wenn ich dann lese, dass die Routerzwang wollen, aber nur alle 2 Jahre sich mal um die Firmware kümmern, da kann man nur noch mit dem Kopf schütteln. Das war auch der Grund, warum ich damals von dem VoIP Anschluss weg wollte. Veralterte/verbuggte Firmware, Überwachung, und fast keine Konfigurationsmöglichkeiten.

Das mit den Fritzen der T-Boxen habe ich auch schon einiges gelesen, aber wirklich noch nie gemacht. Meistens wollt niemand seine TBox für diese Testzwecke hergeben, und das bei ungewissem Ausgang.

Ich kann allerdings sowohl bei der 7270 als auch der 7390 auswählen wie die Anmeldung erfolgen soll und insbesondere bei Bedarf auch mehrere User mit unterschiedlichen Zugriffsrechten anlegen.

Das verstehe ich jetzt nicht wirklich.

Also unter Fritzbox Benutzerkonten anlegen, in den Einstellungen, kann ich zwar Benutzer anlegen, und auch Rechte vergeben, aber hier nur, wie der Zugriff, auf die USB Festplatte, und Anruferlisten, aber nicht für das Webinterface selber.. sein soll, und ob der User über Netz zugang zum USB Speicher hat. Ob es da ein Unterschied beim Fernzugriff über MyFritz zum Webinterface gibt, ist mir so nicht aufgefallen. Wobei man bei MyFritz etliche Namen und PWs haben muss, um überhaupt zugang zur Box zur bekommen. Aber am Ende, ist da nur as Webinterface mit dem PW, ebenso also wenn man Local drauf zugreift.

Da aber, komischerweise, bei Windows der ftpuser zwingend erfolderlich ist, ist es eigendlich auch egal, da der immer da ist.

Löscht man den User "ftpuser", und legt einen anderen an, bekommt man über Windows keinen Zugriff mehr, wenn man eine USB Platte als Netzlaufwerk eingebunden hat. Ein Problem, bei dem ich fast 4 Tage gesucht habe, bis ich da hinter gekommen bin.

http://www.schnatterente.net/technik/fritzbox-nas-windows-freigabe-nicht-erreichbar

 

Freigeist
bei Antwort benachrichtigen