D-Link übertrifft sich selbst: admin und 1234 als Backdoor-Passwörter

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35586
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

D-Link übertrifft sich selbst: admin und 1234 als Backdoor-Passwörter

Beitrag von doelf »

Immer wieder fallen Router des Herstellers D-Link mit unglaublichen Sicherheitslücken auf, doch mit dem LTE-Modell DWR-932B hat die Firma ihr Meisterwerk abgeliefert: Der Sicherheitsexperte Pierre Kim stolperte bei der Analyse dieses Geräts über etliche kritische Schwachstellen sowie über zwei fest eingebaute Hintertüren mit den erstklassigen Passwörtern "admin" und "1234".

"admin" ist das Passwort für das Konto - Überraschung - "admin" und "1234" ist das Passwort für "root" - für beide Konten bietet Pierre Kim den passenden Exploit-Code an. Den braucht man aber nicht unbedingt, denn eine Hintertüre lauscht auf UDP und öffnet den Router mit vollen Root-Rechten, sobald die Zeichenkette "HELODBG" empfangen wird. Eine weitere Kombination aus Benutzername und Passwort - alex_hung/641021 - findet sich im DynDNS-Klienten. Auch für System-Updates per "Firmware Over The Air" (FOTA) nutzt D-Link feste Kombinationen aus Benutzername und Passwort, die nicht sonderlich kreativ sind (qdpc/qdpc; qdpe/qdpe; qdp/qdp). Und was nutzt der Versuch einer HTTPS-Verbindung, wenn das SSL-Zertifikat schon seit anderthalb Jahren abgelaufen ist? Auch beim "Wi-Fi Protected Setup" (WPS) versagt der D-Link DWR-932B mit dem Standardpasswort 28296607. Wenn der Benutzer über die Weboberfläche des Routers eine temporäre WPS-PIN generiert, wird eine vorhersagbare Zufallszahl auf Basis des aktuellen Datums erzeugt. Weiterhin fehlen die üblichen Sicherheitsvorkehrungen für die Verwendung von "Universal Plug and Play" (UPnP), so dass lokale Benutzer einfach alles vom WAN ins LAN weiterleiten können.

Weitere Angriffsflächen bieten kritische Schwachstellen im HTTP-Daemon: So lassen sich sämtliche sensiblen Daten vom Internet-Login über Web-Passwörter, WPS-PINs, SSIDs, DynDNS-Zugänge und die WLAN-Konfiguration ohne jegliche Autorisierung über die Web-Oberfläche abrufen. Auch an die Dateien auf angeschlossenen USB-Geräten kommt man problemlos heran. Zudem kann man der Web-Oberfläche beliebige Befehle unterschieben, die dann mit Root-Rechten ausgeführt werden. Kurzum: Die gesamte Firmware des D-Link DWR-932B ist derart dilettantisch zusammengeschustert, dass man kaum noch von grober Fahrlässigkeit sprechen kann. Auch Pierre Kim stellt sich die Frage, ob wir es hier mit Unfähigkeit oder mit Böswilligkeit zu tun haben. Der Sicherheitsexperte rät daher, den Router unverzüglich außer Betrieb zu nehmen und ihn gleich als Elektromüll zu entsorgen.

Bereits am 4. Dezember 2015 hatte Pierre Kim eklatante Sicherheitsprobleme bei LTE-Routern von Quanta entdeckt, doch Quanta zeigte kein Interesse an einer Beseitigung der Probleme, da das Produkt nicht mehr gepflegt werde. Am 9. Juni 2016 wurde Kim von Gianni Carabelli über den Dlink DWR-932 informiert, der ähnliche Fehler aufweist und sich bis heute noch im Handel findet. Am 16. Juni 2016 übermittelte Kim rund zwanzig Sicherheitslücken an D-Link und der Hersteller bestätigte den Erhalt. D-Link stellte zudem ein Firmware-Update in Aussicht, dass aber seit Monaten überfällig ist. Da es seitens D-Link keine weitere Reaktion gab, wurden die Sicherheitslücken nun publik gemacht und alle DWR-932B sind seither leichte Beute für jeden, der sich im Hacken üben will. Der Schwierigkeitsgrad liegt dabei irgendwo zwischen Krabbelgruppe und Kindergarten.

Quelle:
https://pierrekim.github.io/blog/2016-0 ... ities.html
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
neO
Halbgott der Platine
Halbgott der Platine
Beiträge: 3058
Registriert: 23 Feb 2005, 10:59

Re: D-Link übertrifft sich selbst: admin und 1234 als Backdoor-Passwörter

Beitrag von neO »

Da fehlen einem echt die Worte.
(Und nicht die Worte "admin" und "1234")
Hic et nunc et in aeternum:
This world is one!
see you in the world of tomorrow

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35586
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: D-Link übertrifft sich selbst: admin und 1234 als Backdoor-Passwörter

Beitrag von doelf »

Und es ist ja nicht so, dass Router für die Sicherheit essentiell sind. Und dass alle weiteren Sicherheitsmaßnahmen voll für den Arsch sind, wenn Hacker erst mal deinen Router kontrollieren. Und dass diese Mini-Rechner hervorragende SPAM-Verteiler und DoS-Angreifer sind. Ein Witz ist das!

Und nicht zu vergessen: Die selbe Industrie, die Router, NAS-Systeme, Smartphones und Tablets nach wenigen Monaten für EOL (End of life) erklärt und sich nicht mehr um Updates kümmert, will uns das Internet der Dinge und die Vernetzung der Fahrzeuge als sicher verkaufen! Autos, Kühlschränke oder Heizanlagen wird man dann zukünftig spätestens nach 24 Monaten entsorgen müssen, da der Hersteller bzw. der Zulieferer des jeweiligen Assistenzsystems keine Sicherheits-Updates mehr liefert.

Ich denke, so langsam müssen offizielle Betriebsverbote für bestimmte Router erteilt werden. Wenn es den Herstellern schon am Arsch vorbei geht, werden zumindest die Nutzer regieren, wenn ihre Router nicht mehr funktionieren und das Internet für sie gesperrt ist. Eventuell greift der eine oder andere dann auch nicht mehr zum billigsten Produkt, sondern zu einem Hersteller mit echtem Service.

Gruß

Michael
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Loner
Moderator
Moderator
Beiträge: 5255
Registriert: 17 Feb 2004, 14:48

Re: D-Link übertrifft sich selbst: admin und 1234 als Backdoor-Passwörter

Beitrag von Loner »

made my day - soooo geil
sapere aude!

Antworten