Router-Lücken: Belkin N600 DB macht es den Hackern einfach

(Bild: Belkin)

Die Beschreibung der Lücken in Belkins Heimrouter liest sich wie ein Handbuch mit Negativbeispielen der Firmware-Programmierung. Angreifer können die Nutzer des Routers unter anderem auf beliebige Webseiten umleiten. Abhilfe gibt es nicht.

In Belkins Heimrouter N600 DB klaffen Sicherheitslücken, die es Ganoven erlauben, von außen DNS-Einstellungen zu manipulieren. Nichtsahnenden Nutzern können so Phishing-Webseiten untergeschoben werden. Ein Angreifer in einer Man-in-the-Middle-Position kann eine der Lücken sogar nutzen, um den Router komplett zu kapern, in dem er diesem ein gefälschtes Firmware-Update unterschiebt. Belkin hat die Sicherheitsprobleme bisher nicht behoben.

Sicher geht anders

Auch die weiteren Lücken, die das CERT der Carnegie-Mellon-Universität auflistet, lesen sich wie ein Handbuch zum Thema wie man Router-Firmware nicht programmieren sollte. Ab Werk ist für das Web-Administrations-Interface kein Passwort gesetzt. Passt der Admin des Gerätes auf und setzt ein Passwort, nützt das auch nicht viel, da dieses auf dem Client verifiziert wird. Das bedeutet, ein Angreifer kann gegenüber dem Router einfach lügen und im entsprechenden Request einfach behaupten, er hätte das richtige Passwort ? und schon hat er Zugriff. Er kann dank eines weiteren Router-Bugs aber auch einfach die Session eines aktiven Nutzers kapern.

Betroffen ist das Router-Modell mit der Kennnummer F9K1102 v2, mit Firmware-Version 2.10.17 oder wahrscheinlich auch mit älterer Firmware. Die Auflistung der einzelnen Lücken findet sich beim Carnegie-Mellon-CERT. Vier der fünf Lücken haben CVE-Nummern erhalten; diese lauten wie folgt:

  • Use of Insufficiently Random Values: CVE-2015-5987
  • Credentials Management: CVE-2015-5988
  • Use of Client-Side Authentication: CVE-2015-5989
  • Cross-Site Request Forgery (CSRF): CVE-2015-5990

Das CERT empfiehlt, den Router gegen unbefugten Zugriff aus dem LAN abzusichern und möglichst robuste Passwörter zu vergeben. Gegen die DNS-Lücke ist momentan allerdings kein Kraut gewachsen. (fab)

hier Meinung dazu interessant