Thema: D-Link: Router-Firmware mit versteckter Hintertür

Eine Reihe von Routern des Herstellers D-Link verfügen in der Firmware über eine Hintertür, mit der sich Unbefugte Zugang zu den Systemeinstellungen verschaffen können, ohne sich zu authentifizieren.

Entdeckt hat das Problem der Sicherheitsforscher Craig Heffner, der für die Firma Tactical Network Solutions arbeitet und auf die Analyse von entsprechenden Systemen spezialisiert ist. Dieser entdeckte die Sicherheitslücke, nachdem er eine neue Firmware für den DIR-100-Router heruntergeladen und per Reverse Engineering untersucht hatte.

In seinem Blog schildert er, dass dies ein Projekt außerhalb seiner eigentlichen Tätigkeit war. Heffner hatte an einem Samstag-Abend nichts vor, legte sich etwas Musik auf und machte sich daran, die Firmware unter die Lupe zu nehmen. Dabei stieß er auf eine etwas seltsam anmutende Funktion, die ihn auf die Fährte brachte.

Letztlich kam heraus, dass es problemlos möglich ist, sich mit dem Web-Interface für die Router-Einstellungen zu verbinden, ohne, dass ein Passwort abgefragt wird. Dafür sei es lediglich notwendig, den User-Agent-String des anfragenden Browsers auf "xmlset_roodkcableoj28840ybtide" zu ändern.

Dieser Zugang wurde von den Entwicklern der Firmware offenbar gezielt eingebaut. Darauf deutet die Zeichenfolge hin: Lässt man im zweiten Teil des Strings die Zahlen weg und liest von hinten, steht dort: "edit by joel backdoor". "Meine Idee ist, dass die Entwickler realisierten, dass einige Programme/Dienste fähig sein müssen, automatische Änderungen vorzunehmen", so Heffner. Diese würden auf diesem Weg einen einfachen Zugang zu dem System erhalten.

Es handelt sich also um einen Fall dessen, was in der Sicherheits-Szene als "Security by Obscurity" bezeichnet wird. Dies bedeutet, dass - meist aus Bequemlichkeit - auf eine echte Sicherheitsmaßnahme verzichtet wird und man die sensiblen Inhalte oder Funktionen durch verstecken zu schützen versucht. Ein anderes Beispiel ist beispielsweise die ungeschützte Ablage von Dokumenten auf einem Webserver, wo sie lediglich nicht verlinkt sind. Hier wird von der Annahme ausgegangen, dass ein Angreifer nicht über die entscheidenden Informationen verfügt - was im Zweifel ein folgenschwerer Irrtum sein kann.

Laut Heffner sind von dem beschriebenen Problem die D-Link-Modelle DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 und möglicherweise auch der DIR-615 betroffen. Hinzu kommen die Router BRL-04UR und BRL-04CW von Planex, bei denen die gleiche Firmware zum Einsatz kommt.

Quelle: Winfuture