Sicherheitsproblem bei D-Link Routern

Seit einigen Tagen sollten Benutzer die einen D-Link Router ihr Eigen nennen sehr vorsichtig sein. Ein Sicherheitsexperte hat bereits im Dezember 2012 entdeckt, dass die Geräte DIR-300 & DIR-600 durch eine Schwachstelle angreifbar sind. Auf den betroffenen Geräten ist es möglich, ohne Eingabe des Root Passworts, Code auszuführen und so die Kontrolle über das Gerät zu erhalten. Erst gestern Abend hat D-Link für beide Geräte ein Firmwareupdate veröffentlicht. Die Firmware findet man hier.

Auf heise.de findet man einen Router-Test, der einem sagt wie angreifbar sein Router ist. Jedoch sollte man, auch wenn alle anzeigen Grün sind, die neue Firmware aufspielen.

Ich besitze einen DIR-600 Router mit Hardware-Version “Bx” und Firmware-Version 2.12. Aus diesem Grund habe ich folgenden Befehl in Firefox eingegeben:

http://<Router-IP>/command.php

Wenn mein System nicht betroffen gewesen wäre, hätte ich eine Passwort-Abfrage oder eine Fehlermeldung erhalten müssen. Was ich jedoch erhalten habe sieht man auf dem Screenshot:

Unter Linux kann man folgenden Befehl in einer Konsole eingeben:

curl --data "cmd=ls" http://<Router-IP>/command.php

Das ich dann die ganzen Ordner sehe ist kein Feature, sondern der Fehler.

Andy

Hey, ich bin Andreas und unterstütze Tobi gerne mit dem ein oder anderen Artikel. Ich arbeite als Administrator und interessiere mich für Hard- und Software. Durch meine Arbeit kenne ich mich mit Windows, Linux sowie verschiedenen Storage-Systemen und der Virtualisierung aus.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert