Kritische Sicherheitslücken in D-Link Routern ermöglichen Fernzugriff und Umgehung der Authentifizierung

Zwei kritische Sicherheitslücken wurden in den D-Link DIR-X4860 Routern entdeckt, die sowohl eine Authentifizierungsumgehung durch den HNAP-Port als auch eine Remote-Code-Ausführung ermöglichen. Diese Schwachstellen können zusammen ausgenutzt werden, um eine vollständige Übernahme des betroffenen Geräts zu erreichen. Trotz Meldung an den Hersteller blieb eine Reaktion oder ein Update bislang aus, was Forscher dazu veranlasste, die Details öffentlich zu machen.

Authentifizierungsumgehung durch fehlerhafte Implementierung Die erste Schwachstelle resultiert aus der fehlerhaften Behandlung von HNAP-Login-Anfragen, die keine angemessene Implementierung von Authentifizierungsalgorithmen aufweisen. Ein erfolgreicher Angriff kann zu einer Eskalation der Privilegien führen und ermöglicht es, Code im Kontext des Routers auszuführen.

Bei der Anmeldung nutzt der Router das HNAP-Protokoll, welches eine XML-Anfrage mit Benutzernamen und Passwort beinhaltet. Die Antwort auf diese Login-Anfrage enthält drei Hauptparameter: Challenge, Cookie und PublicKey. Ändert ein Angreifer die Benutzernamen- und Passwortparameter in der XML-Anfrage zu „Admin“, wird der PublicKey aus dem Wert „Admin“ generiert, wodurch eine Authentifizierungsumgehung möglich ist.

Lokale IP-Adressenbefehlseinspeisung Die zweite Schwachstelle befindet sich ebenfalls in der Datei prog.cgi, die die HNAP-Anfragen im Lighttpd-Webserver auf den Ports 80 und 443 verarbeitet. Diese Schwachstelle entsteht durch mangelnde Validierung einer benutzergesteuerten Zeichenkette vor ihrer Verwendung für einen Systemaufruf. Ein erfolgreicher Angriff ermöglicht die Ausführung von Code unter dem Kontext von „root“.

Der prog.cgi-Datei im /bin-Verzeichnis enthält eine Funktion, die SetVirtualServerSettings verwaltet. Der Parameter LocalIPAddress nutzt eine benutzergesteuerte Eingabe, um die Funktion FCGI_popen aufzurufen, wodurch Angreifer schädliche Befehle ausführen können.

Aufgrund der fehlenden Reaktion des Herstellers innerhalb der letzten 30 Tage haben Forscher der SSD ein Proof of Concept veröffentlicht, das detaillierte Informationen bietet und das Potenzial dieser Schwachstellen demonstriert.

Die Offenlegung dieser Schwachstellen unterstreicht die Notwendigkeit für Unternehmen, auf Sicherheitsberichte zeitnah zu reagieren und betroffene Nutzer über mögliche Risiken und erforderliche Schutzmaßnahmen zu informieren.