{"id":210696,"date":"2018-10-18T12:03:37","date_gmt":"2018-10-18T10:03:37","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=210696"},"modified":"2024-10-04T11:27:49","modified_gmt":"2024-10-04T09:27:49","slug":"d-link-router-ber-sicherheitslcken-kompromittierbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/10\/18\/d-link-router-ber-sicherheitslcken-kompromittierbar\/","title":{"rendered":"D-Link-Router &uuml;ber Sicherheitsl&uuml;cken kompromittierbar"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/web.archive.org\/web\/20240413040518\/https:\/\/borncity.com\/win\/2018\/10\/18\/d-link-router-can-be-compromised\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Betreibt jemand einen D-Link-Router? In acht Modellen gibt es gleich mehrere Sicherheitsl\u00fccken, \u00fcber die die Ger\u00e4te vollst\u00e4ndig kompromittierbar sind.<\/p>\n<p><!--more--><\/p>\n<h2>Schwachstellen in D-Link-Routern<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/848b8355486f4462b17ec20a7e02ad79\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte es k\u00fcrzlich bereits bei seclists.org gesehen, komme aber erst jetzt dazu, das in einem Beitrag aufzubereiten. In einem Eintrag <a href=\"https:\/\/seclists.org\/fulldisclosure\/2018\/Oct\/36\" target=\"_blank\" rel=\"noopener\">Multiple vulnerabilities in D-Link routers<\/a>vom 12. Oktober 2018 beschreibt B\u0142a\u017cej Adamczyk gleich eine ganze Sammlung an Sicherheitsl\u00fccken.<\/p>\n<h3>Directory Traversal-L\u00fccke im httpd Server<\/h3>\n<p>Die Schwachstelle CVE-2018-10822 (Directory traversal vulnerability) besteht in der Weboberfl\u00e4che folgender D-Link Router:<\/p>\n<p>&#8211; DWR-116 bis 1.06,<br \/>\n&#8211; DIR-140L bis 1.02,<br \/>\n&#8211; DIR-640L bis 1.02,<br \/>\n&#8211; DWR-512 bis 2.02,<br \/>\n&#8211; DWR-712 bis 2.02,<br \/>\n&#8211; DWR-912 bis 2.02,<br \/>\n&#8211; DWR-921 bis 2.02,<br \/>\n&#8211; DWR-111 bis 1.01<\/p>\n<p>Es wird vermutet, dass wahrscheinlich auch andere Modelle mit der gleichen Art von Firmware angreifbar sind. Die Schwachstelle erm\u00f6glicht es Angreifern remote beliebige Dateien \u00fcber Angaben der Art \/&#8230; oder \/\/ zu lesen. Diese Schwachstelle besteht aufgrund einer falschen Behebung der Schwachstelle CVE-2017-6190.<\/p>\n<p>Die Schwachstelle kann mit der Schwachstelle CVE-2018-10824 verwendet werden, um das Administratorkennwort mit Abfragen der Art:<\/p>\n<p>$ curl http:\/\/routerip\/uir\/\/etc\/passwd<\/p>\n<p>abzurufen.<\/p>\n<h3>Passwort im Klartext gespeichert<\/h3>\n<p>In mehreren Modellen von D-Link-Routern wird das Passwort im Klartext gespeichert. Die Schwachstelle\u00a0 CVE: CVE-2018-1082424 betrifft folgende Router-Modelle:<\/p>\n<p>&#8211; DWR-116 bis 1.06,<br \/>\n&#8211; DIR-140L bis 1.02,<br \/>\n&#8211; DIR-640L bis 1.02,<br \/>\n&#8211; DWR-512 bis 2.02,<br \/>\n&#8211; DWR-712 bis 2.02,<br \/>\n&#8211; DWR-912 bis 2.02,<br \/>\n&#8211; DWR-921 bis 2.02,<br \/>\n&#8211; DWR-111 bis 1.01<\/p>\n<p>und wahrscheinlich auch andere Router mit der gleichen Art von Firmware. Das administrative Passwort wird im Klartext in der Datei \/tmp\/XXX\/0 (xxx ist ein Platzhalter) gespeichert. Ein Angreifer kann mit einem Directory-Traversal (oder LFI) problemlos vollen Zugriff auf den Router bekommen. Der Proof of Concept (PoC) Befehl (unter Verwendung der gleichzeitig offenbarten Directory Traversal Schwachstelle CVE-2018-10822) lautet:<\/p>\n<p>$ curl http:\/\/routerip\/uir\/\/tmp\/XXX\/0<\/p>\n<p>Dieser Befehl gibt eine bin\u00e4re Konfigurationsdatei zur\u00fcck, die Benutzername und Passwort des Admin sowie viele andere Router-Konfigurationen und Einstellungen enth\u00e4lt. Durch die Verwendung der Directory Traversal Schwachstelle ist es m\u00f6glich, die Datei ohne Authentifizierung zu lesen. Diese Schwachstelle will der Hersteller bei Ger\u00e4ten, die aus dem Support gefallen sind, nicht beheben.<\/p>\n<h3>Shell Command Injection in httpd Server<\/h3>\n<p>In einer Reihe von D-Link-Routern ist eine Shell Command Injection im httpd Server m\u00f6glich. Betroffen von CVE-2018-10823 sind folgende Ger\u00e4te:<\/p>\n<p>&#8211; DWR-116 bis 1.06,<br \/>\n&#8211; DWR-512 bis 2.02,<br \/>\n&#8211; DWR-712 bis 2.02,<br \/>\n&#8211; DWR-912 bis 2.02,<br \/>\n&#8211; DWR-921 bis 2.02,<br \/>\n&#8211; DWR-111 bis 1.01<\/p>\n<p>und wahrscheinlich auch andere mit der gleichen Art von Firmware.\u00a0 Ein authentifizierter Angreifer kann beliebigen Code ausf\u00fchren, indem er die\u00a0 Shell-Befehl in die chkisg.htm-Seite injiziert. Dies erm\u00f6glicht die volle Kontrolle \u00fcber die Ger\u00e4te.<\/p>\n<h2>Kombination der Schwachstellen<\/h2>\n<p>Durch Kombination dieser Schwachstellen werden die Ger\u00e4te l\u00f6chrig wie ein Schweizer K\u00e4se. Wenn man alle drei Schwachstellen zusammen nimmt, ist es einfach, die volle Kontrolle \u00fcber den Router zu erlangen. Das schlie\u00dft auch die Ausf\u00fchrung von beliebigem Code ein.<\/p>\n<p>Eine Beschreibung mit Video findet sich unter <a href=\"http:\/\/sploit.tech\/2018\/10\/12\/D-Link.html\" target=\"_blank\" rel=\"noopener\">http:\/\/sploit.tech\/2018\/10\/12\/D-Link.html<\/a>. Interessant ist auch die Abfolge der Benachrichtigung des Herstellers:<\/p>\n<p>&#8211; 09.05.2018 \u2013 Benachrichtigung von dLink<br \/>\n&#8211; 06.06.2018 &#8211; Nachfrage nach dem Status<br \/>\n&#8211; 22.06.2018 &#8211; Antwort, dass ein Patch freigegeben werde, aber nur f\u00fcr DWR-116 und DWR-111, f\u00fcr die anderen Ger\u00e4te, die EOL sind, wird es nur eine 'Ank\u00fcndigung' geben<br \/>\n&#8211; 09.09.2018 &#8211; noch keine Antwort des Anbieters \u00fcber die Patches oder eine\u00a0\u00a0 Ank\u00fcndigung. Warnung an D-Link, dass die Offenlegung in einem Monat erfolgt, wenn keine Antwort kommt.<br \/>\n&#8211; 12.10.2018 &#8211; Offenlegung der Schwachstellen<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Betreibt jemand einen D-Link-Router? In acht Modellen gibt es gleich mehrere Sicherheitsl\u00fccken, \u00fcber die die Ger\u00e4te vollst\u00e4ndig kompromittierbar sind.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[2038,4328],"class_list":["post-210696","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-router","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210696","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=210696"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210696\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=210696"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=210696"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=210696"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}