Zero-Day-Lücken erlauben Übernahme von D-Link-VPN-Routern

Der Sicherheitsanbieter Digital Defense hat mehrere Schwachstellen in der Gerätesoftware von VPN-Routern von D-Link entdeckt. Wie Threatpost berichtet, kann ein Angreifer unter Umständen aus der Ferne Schadcode einschleusen und mit Root-Rechten ausführen, um die vollständige Kontrolle über ein Gerät zu übernehmen.

Betroffen sind dem Bericht zufolge die Modelle DSR-150, DSR-250, DSR-500 und DSR-1000AC, auf denen die Firmware-Version 3.14 oder 3.17 installiert ist. Ein vollständiger Patch stehe noch nicht zur Verfügung. Für die Modelle DSR-150, DSR-250 und DSR-500 biete D-Link eine Beta-Firmware sowie Behelfslösungen an, um die Auswirkungen von Attacken zu reduzieren.

Für einen erfolgreichen Angriff müssen allerdings drei Anfälligkeiten miteinander verknüpft werden. Besonders schwerwiegend ist eine Lücke, die eine Remotecodeinjection für Root-Befehle ohne vorherige Authentifizierung zulässt. „Zwei Schwachstellen wurden bestätigt, und Patches sind in der Entwicklung. Eine der gemeldeten Schwachstellen betrifft die Funktionsweise des Geräts, die D-Link bei dieser Produktgeneration nicht ändern wird“, teilte das Unternehmen mit.

Einem Support-Artikel zufolge haben die nur in den USA angebotenen Router DSR-500, DSR-500N, DSR-1000 (nur Hardware-Revision A) und DSR-100N das Ende ihres Lebenszyklus erreicht und im September 2020 letztmalig Updates erhalten. Sie sind laut Digital Defense jedoch von der schwerwiegende Remote-Command-Injection-Lücke betroffen. Die anderen anfälligen Modelle, für die offenbar Patches in Arbeit sind, werden weltweit vertrieben.

Die finalen Versionen der Patches für zwei der drei Schwachstellen kündigte D-Link dem Bericht zufolge für Mitte Dezember an. Die dritte Sicherheitslücke, die D-Link als „Funktion“ beschreibt, erlaubt Nutzern nach Eingabe von Anmeldedaten beliebige CRON-Einträge einzuschleusen. Sie werden nach Angaben des Unternehmens mit Root-Rechten ausgeführt und können die Konfigurationsdatei eines Routers verändern.