Bijna 100.000 D-Link-routers kwetsbaar door ongepatchte lekken

[Captain Kirk]

Bijna 100.000 routers van netwerkfabrikant D-Link die via internet toegankelijk zijn bevatten ongepatchte kwetsbaarheden waardoor ze kunnen worden aangevallen. Vorige week besloot onderzoeker Pierre Kim verschillende beveiligingslekken in de D-Link 850L-router te openbaren, zonder dat D-Link was ingelicht.

Het bedrijf had dan ook geen updates kunnen ontwikkelen. De onderzoeker besloot naar eigen zeggen tot full-disclosure over te gaan omdat D-Link slecht op een eerdere bugmelding van hem had gereageerd. Nu heeft securitybedrijf Embedi verschillende kwetsbaarheden in de DIR890L, DIR885L, DIR895L en andere DIR8xx D-Link-routers onthuld die ook nog niet zijn gepatcht. Embedi besloot D-Link wel eerst te informeren, maar dat bleek een lastig proces.

De netwerkfabrikant werd eind april door Embedi over twee kwetsbaarheden gewaarschuwd. D-Link antwoordde dat de kwetsbaarheden al in een betaversie van de router-firmware waren gepatcht. De beta-firmware bleek echter één van de twee gerapporteerde kwetsbaarheden te verhelpen. Daarnaast werd er een ander lek in de firmware gevonden. In juni waren de twee openstaande problemen nog steeds niet gepatcht, waarop Embedi stelde dat het die openbaar zou maken. Nu ruim drie maanden later zijn de problemen nog steeds aanwezig en is ook Embedi tot full-disclosure overgegaan.

Het eerste ongepatchte lek is een zogeheten 'stack overflow' waardoor een aanvaller door het versturen van een speciaal request superuser-toegang kan krijgen. Op deze manier is het mogelijk om het apparaat volledig over te nemen. De tweede kwetsbaarheid die nog steeds aanwezig is maakt het mogelijk om op afstand de firmware te updaten. Bij het herstarten van de router blijkt er een 'recovery webserver' te draaien. Deze server biedt de mogelijkheid voor ongeautoriseerde gebruikers om de firmware te updaten.

Zodra een aanvaller toegang tot het apparaat heeft verkregen kan hij die herstarten en via de webserver zijn eigen firmware installeren. Het beveiligingslek dat D-Link wel heeft gepatcht maakte het mogelijk voor een aanvaller om via een http-request de inloggegevens van de router te stelen. De Nederlandse beveiligingsonderzoeker Victor Gevers laat weten dat het aantal kwetsbare D-Link-routers dat via internet toegankelijk is de 98.500 heeft gepasseerd. Het grootste deel van de kwetsbare routers bevindt zich in Zuid-Korea, Singapore en Canada.

 

 

bron: security.nl