Backdoor in meinem D-Link DI-524 Router?

Wie ich gerade zuerst beim Spiegel und dann bei Heise las, hat mein alter Router DI-524 seit Jahren eine riesengroße Backdoor. Toll, wenn man sowas liest. Man versucht gleich nochmal intensiv nachzudenken ob es in den letzten Jahren irgendwelche verdächtigen Infektionen gab (kann mich nicht erinnern).

Die Hintertüre wurde von einer Hackergruppe mittels Reverse-Engineering-Verfahren in der Firmware des D-Link-Routers DIR-100 festgestellt. Als nächstes prüften Sie dann, ob noch weitere D-Link-Router von der Lücke betroffen sind und wurden bei weiteren 6 Routern fündig. Die Liste der betroffenen D-Link Router sieht folgendermaßen aus: DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240. Dazu kommen noch 2 weitere Modelle einer anderen Marke.
Wie sieht nun die Hintertüre aus? Bei den betroffenen Geräten reicht es aus den User-Agent-String des verwendeten Browsers auf  den Wert “xmlset_roodkcableoj28840ybtide”  zu setzen. Dann lassen sich die normalerweise geschützten Seiten zur Routerkonfiguration ohne Benutzername und Passwort aufrufen. Ein weiterer Hacker konnte dann auch mit einer ziemlich plausiblen Erklärung für die backdoor um die Ecke kommen. Er fand heraus, dass die Backdoor von der Firmware selbst verwendet wurde um die Konfiguration des Routers automatisch anpassen zu können. Dies sollte wohl den Zugriff auch dann gewährleisten, wenn der Benutzer des Routers das Passwort geändert hat.

Dumm nur, dass diese Lücke mittlerweile aufgeflogen ist. Da der Programmierer im String einen Hinweis auf seine Urheberschaft hinterlassen hat (der String liest sich rückwärts nämlich „edit by 04882 joel backdoor“ spottet nun das Web über den Programmierer.

Und was mache ich? Ich habe jetzt erstmal getestet, ob die Sicherheitslücke auch in meinem Router existiert. Habe den Router hervorgekramt. Es ist ein DI-524 Rev. B mit Firmware 2.07DE. Mittels eines Addon für Firefox habe ich dann meinen User-Agent verändert und das Ganze mal ausprobiert, leider ohne Erfolg. Beim Aufruf der Router-IP erscheint trotzdem immer die Passwortabfrage, selbst bei Angabe von spezifischen Unterseiten. Entweder der Router ist also von der Backdoor nicht betroffen, oder ich bin falsch vorgegangen.

In jedem Fall ärgert es mich, dass Hersteller in Ihre Router aus purer Faulheit solche Sicherheitslücken einbauen. Dabei beschleicht mich zudem das dunkle Gefühl, dass solche Maßnahmen eher die Regel sind, als die Ausnahme. Tja, aber was man nicht genau weiss…

 

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.