Sicherheitsproblem bei D-Link Routern
Seit einigen Tagen sollten Benutzer die einen D-Link Router ihr Eigen nennen sehr vorsichtig sein. Ein Sicherheitsexperte hat bereits im Dezember 2012 entdeckt, dass die Geräte DIR-300 & DIR-600 durch eine Schwachstelle angreifbar sind. Auf den betroffenen Geräten ist es möglich, ohne Eingabe des Root Passworts, Code auszuführen und so die Kontrolle über das Gerät zu erhalten. Erst gestern Abend hat D-Link für beide Geräte ein Firmwareupdate veröffentlicht. Die Firmware findet man hier.
Auf heise.de findet man einen Router-Test, der einem sagt wie angreifbar sein Router ist. Jedoch sollte man, auch wenn alle anzeigen Grün sind, die neue Firmware aufspielen.
Ich besitze einen DIR-600 Router mit Hardware-Version “Bx” und Firmware-Version 2.12. Aus diesem Grund habe ich folgenden Befehl in Firefox eingegeben:
http://<Router-IP>/command.phpWenn mein System nicht betroffen gewesen wäre, hätte ich eine Passwort-Abfrage oder eine Fehlermeldung erhalten müssen. Was ich jedoch erhalten habe sieht man auf dem Screenshot:
Unter Linux kann man folgenden Befehl in einer Konsole eingeben:
curl --data "cmd=ls" http://<Router-IP>/command.php
Das ich dann die ganzen Ordner sehe ist kein Feature, sondern der Fehler.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
Neueste Kommentare