D-Link-Router über Sicherheitslücken kompromittierbar

[English]Betreibt jemand einen D-Link-Router? In acht Modellen gibt es gleich mehrere Sicherheitslücken, über die die Geräte vollständig kompromittierbar sind.

Schwachstellen in D-Link-Routern

Ich hatte es kürzlich bereits bei seclists.org gesehen, komme aber erst jetzt dazu, das in einem Beitrag aufzubereiten. In einem Eintrag Multiple vulnerabilities in D-Link routersvom 12. Oktober 2018 beschreibt Błażej Adamczyk gleich eine ganze Sammlung an Sicherheitslücken.

Directory Traversal-Lücke im httpd Server

Die Schwachstelle CVE-2018-10822 (Directory traversal vulnerability) besteht in der Weboberfläche folgender D-Link Router:

– DWR-116 bis 1.06,
– DIR-140L bis 1.02,
– DIR-640L bis 1.02,
– DWR-512 bis 2.02,
– DWR-712 bis 2.02,
– DWR-912 bis 2.02,
– DWR-921 bis 2.02,
– DWR-111 bis 1.01

Es wird vermutet, dass wahrscheinlich auch andere Modelle mit der gleichen Art von Firmware angreifbar sind. Die Schwachstelle ermöglicht es Angreifern remote beliebige Dateien über Angaben der Art /… oder // zu lesen. Diese Schwachstelle besteht aufgrund einer falschen Behebung der Schwachstelle CVE-2017-6190.

Die Schwachstelle kann mit der Schwachstelle CVE-2018-10824 verwendet werden, um das Administratorkennwort mit Abfragen der Art:

$ curl http://routerip/uir//etc/passwd

abzurufen.

Passwort im Klartext gespeichert

In mehreren Modellen von D-Link-Routern wird das Passwort im Klartext gespeichert. Die Schwachstelle  CVE: CVE-2018-1082424 betrifft folgende Router-Modelle:

– DWR-116 bis 1.06,
– DIR-140L bis 1.02,
– DIR-640L bis 1.02,
– DWR-512 bis 2.02,
– DWR-712 bis 2.02,
– DWR-912 bis 2.02,
– DWR-921 bis 2.02,
– DWR-111 bis 1.01

und wahrscheinlich auch andere Router mit der gleichen Art von Firmware. Das administrative Passwort wird im Klartext in der Datei /tmp/XXX/0 (xxx ist ein Platzhalter) gespeichert. Ein Angreifer kann mit einem Directory-Traversal (oder LFI) problemlos vollen Zugriff auf den Router bekommen. Der Proof of Concept (PoC) Befehl (unter Verwendung der gleichzeitig offenbarten Directory Traversal Schwachstelle CVE-2018-10822) lautet:

$ curl http://routerip/uir//tmp/XXX/0

Dieser Befehl gibt eine binäre Konfigurationsdatei zurück, die Benutzername und Passwort des Admin sowie viele andere Router-Konfigurationen und Einstellungen enthält. Durch die Verwendung der Directory Traversal Schwachstelle ist es möglich, die Datei ohne Authentifizierung zu lesen. Diese Schwachstelle will der Hersteller bei Geräten, die aus dem Support gefallen sind, nicht beheben.

Shell Command Injection in httpd Server

In einer Reihe von D-Link-Routern ist eine Shell Command Injection im httpd Server möglich. Betroffen von CVE-2018-10823 sind folgende Geräte:

– DWR-116 bis 1.06,
– DWR-512 bis 2.02,
– DWR-712 bis 2.02,
– DWR-912 bis 2.02,
– DWR-921 bis 2.02,
– DWR-111 bis 1.01

und wahrscheinlich auch andere mit der gleichen Art von Firmware.  Ein authentifizierter Angreifer kann beliebigen Code ausführen, indem er die  Shell-Befehl in die chkisg.htm-Seite injiziert. Dies ermöglicht die volle Kontrolle über die Geräte.

Kombination der Schwachstellen

Durch Kombination dieser Schwachstellen werden die Geräte löchrig wie ein Schweizer Käse. Wenn man alle drei Schwachstellen zusammen nimmt, ist es einfach, die volle Kontrolle über den Router zu erlangen. Das schließt auch die Ausführung von beliebigem Code ein.

Eine Beschreibung mit Video findet sich unter http://sploit.tech/2018/10/12/D-Link.html. Interessant ist auch die Abfolge der Benachrichtigung des Herstellers:

– 09.05.2018 – Benachrichtigung von dLink
– 06.06.2018 – Nachfrage nach dem Status
– 22.06.2018 – Antwort, dass ein Patch freigegeben werde, aber nur für DWR-116 und DWR-111, für die anderen Geräte, die EOL sind, wird es nur eine 'Ankündigung' geben
– 09.09.2018 – noch keine Antwort des Anbieters über die Patches oder eine   Ankündigung. Warnung an D-Link, dass die Offenlegung in einem Monat erfolgt, wenn keine Antwort kommt.
– 12.10.2018 – Offenlegung der Schwachstellen