Loading...
Blogs & Stories

SpiderLabs-Blog

Mit mehr als einer halben Million Lesern pro Jahr ist dies die Anlaufstelle der Sicherheitsgemeinschaft für technische Informationen zu den neuesten Bedrohungen, Informationen zu kritischen Sicherheitslücken und aktuellen Forschungsergebnissen.

D-Link: Mehrere Sicherheitslücken begünstigen Remote Code Execution (RCE)

D-Link: Mehrere Sicherheitslücken begünstigen Remote Code Execution (RCE)

Am 30. Oktober 2020 veröffentlichte D-Link eine Support-Ankündigung und gab eine neue Firmware heraus. Diese sollten fünf Schwachstellen patchen, die Harold Zang, Technical Specialist des SpiderLabs-Teams von Trustwave im Rahmen seiner Sicherheitsforschung auf dem DSL-2888A-Router identifiziert hatte. Diese Sicherheitslücken können es einem böswilligen Nutzer des WLANs oder des lokalen Netzwerks ermöglichen, unberechtigt Zugriff auf das Router-Webinterface zu erhalten, sich den Passwort-Hash des Routers zu beschaffen, Anmeldeinformationen im Klartext abzurufen und Systembefehle auf dem Router auszuführen.

1. Schwachstelle: Unzureichende Authentifizierung (CVE-2020-24579)

Das Router-Webportal weist eine unzureichende Authentifizierung auf. Diese ermöglicht den Zugriff auf Administrationsseiten mit Authentifizierung, ohne dass das richtige Kennwort erforderlich ist. Ein böswilliger Benutzer, der sich im selben Netzwerk befindet, kann mit ungültigen Anmeldeinformationen direkt zu einer Administrationsseite mit Authentifizierung navigieren.

  1. Aufrufen des Router-Webinterface: http://192.168.1.1/
  2. Beliebige Zeichenfolge als Passwort übermitteln
  3. Die Anwendung informiert den Benutzer, dass das Passwort ungültig ist. Er erhält jedoch Zugriff auf eine gültige Session.
  4. Aufrufen einer beliebigen Seite mit Authentifizierung, zum Beispiel: /WiFi.shtml

Das folgende Video demonstriert diese Schwachstelle:

2. Schwachstelle: Datenleck (CVE-2020-24577)

Nach dem Herstellen einer Verbindung zum Netzwerk, entweder über eine physische Verbindung oder über einen drahtlosen Zugang, kann ein Angreifer den Benutzernamen und das Kennwort der Internetproviderverbindung sowie den Benutzernamen und das Kennwort des WLAN-Routers im Klartext erhalten, indem er direkt zu den folgenden URLs navigiert:

http://DeviceIP:8008/tmp/cfg/lib_cfg_cfgcmd
http://DeviceIP:8008/tmp/.nvram

Screen Shot 2020-11-06 at 1.38.08 pm

3. Schwachstelle: FTP-Fehlkonfiguration (CVE-2020-24578)

Der Router D-Link DSL-2888A verfügt über eine File-Sharing-Funktion, mit der Benutzer Dateien für andere Netzwerkbenutzer freigeben können, indem sie dem Router ein externes Laufwerk hinzufügen. Dieses wird dann über FTP (File Transfer Protocol) geteilt. Der FTP-Dienst ermöglicht es einem Netzwerkbenutzer allerdings, den geteilten Ordner zu verlassen, um auf das Dateisystem des Routers zuzugreifen und andere Dateien aus dem Root-Verzeichnis herunterzuladen.

Im Folgenden finden Sie ein Beispiel für den Download des „passwd“:

Über den folgenden Befehl auf einem FTP-Client lässt sich eine Verbindung zum FTP-Dienst mit gültigen Anmeldeinformationen herstellen (durch Ausnutzung der 2. Schwachstelle erhalten).
ftp <DeviceIP>

Mittels Eingabe des folgenden Befehls gelangt der Nutzer zum Root-Verzeichnis.
ftp>cd /

Der nächste Befehl ermöglicht den Download der Passwort-Hash-Datei.
ftp>cd etc/
ftp>get passwd

Screen Shot 2020-11-06 at 1.41.24 pm

Der Angreifer muss sich zuerst die FTP-Anmeldeinformationen beschaffen. Durch die zweite von Harold Zang aufgedeckte Schwachstelle hat der Angreifer diese Informationen bereits im Klartext erhalten.

4. Schwachstelle: Versteckte Funktionen (CVE-2020-24581)

Über versteckte Funktionen, die auf dem Interface des Router-Webportals nicht verfügbar sind, kann ein authentifizierter Benutzer im Router Linux-Betriebssystembefehle ausführen.

Hierbei handelt es sich um eine Proof of Concept-URL:
http://DeviceIP/cgi-bin/execute_cmd.cgi?timestamp=1589333279490&cmd=ls

Screen Shot 2020-11-06 at 1.43.45 pm

Screen Shot 2020-11-06 at 1.44.08 pm

Durch die Ausführung von Betriebssystembefehlen auf einem Router kann ein Angreifer den Netzwerkverkehr überwachen, um an sensible Daten – einschließlich Login-Daten – zu gelangen. Diese Schwachstelle könnte es ihm außerdem ermöglichen, Backdoors auf dem Router zu installieren.

Obwohl die Ausnutzung dieser Schwachstelle eine Authentifizierung erfordert, bietet die erste gefundene Schwachstelle (CVE-2020-24579) eine Möglichkeit, die Authentifizierung zu umgehen.

5. Schwachstelle: Unzureichende Authentifizierung (CVE-2020-24580)

Auch bei der letzten Sicherheitslücke, auf die Harold Zang gestoßen ist, handelt es sich um eine unzureichende Authentifizierung. Der Router verwendet die Quell-IP-Adresse eines sich verbindenden Benutzers, um die Authentifizierung durchzuführen. Dadurch kann ein Angreifer die IP-Adresse eines legitimen Benutzers mit einer gültigen Session vortäuschen, indem er die IP-Adresse in die eines Benutzers mit Administratorrechten ändert. Auf diese Weise erhält er Zugriff auf Administrationswebseiten mit Authentifizierung.

Trustwave-Warnmeldung TWSL2020-011: https://www.trustwave.com/en-us/resources/security-resources/security-advisories/?fid=28241