Der Sicherheitsanbieter Digital Defense hat mehrere Schwachstellen in der Gerätesoftware von VPN-Routern von D-Link entdeckt. Wie Threatpost berichtet, kann ein Angreifer unter Umständen aus der Ferne Schadcode einschleusen und mit Root-Rechten ausführen, um die vollständige Kontrolle über ein Gerät zu übernehmen.
Für einen erfolgreichen Angriff müssen allerdings drei Anfälligkeiten miteinander verknüpft werden. Besonders schwerwiegend ist eine Lücke, die eine Remotecodeinjection für Root-Befehle ohne vorherige Authentifizierung zulässt. „Zwei Schwachstellen wurden bestätigt, und Patches sind in der Entwicklung. Eine der gemeldeten Schwachstellen betrifft die Funktionsweise des Geräts, die D-Link bei dieser Produktgeneration nicht ändern wird“, teilte das Unternehmen mit.
Einem Support-Artikel zufolge haben die nur in den USA angebotenen Router DSR-500, DSR-500N, DSR-1000 (nur Hardware-Revision A) und DSR-100N das Ende ihres Lebenszyklus erreicht und im September 2020 letztmalig Updates erhalten. Sie sind laut Digital Defense jedoch von der schwerwiegende Remote-Command-Injection-Lücke betroffen. Die anderen anfälligen Modelle, für die offenbar Patches in Arbeit sind, werden weltweit vertrieben.
Die finalen Versionen der Patches für zwei der drei Schwachstellen kündigte D-Link dem Bericht zufolge für Mitte Dezember an. Die dritte Sicherheitslücke, die D-Link als „Funktion“ beschreibt, erlaubt Nutzern nach Eingabe von Anmeldedaten beliebige CRON-Einträge einzuschleusen. Sie werden nach Angaben des Unternehmens mit Root-Rechten ausgeführt und können die Konfigurationsdatei eines Routers verändern.
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.
Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…