Sicherheitslücken sind in Belkins Heimrouter N600 DB vorhanden, über denen es Angreifern ermöglicht, von außen DNS-Einstellungen zu manipulieren und so den Opfern Phishing-Webseiten unterschieben können. In einer Man-in-the-Middle-Position können Angreifer über eine der Lücken ein gefälschtes Firmware-Update einspielen, um den Router komplett zu übernehmen. Bisher hat Belkin diese Sicherheitsprobleme nicht behoben.

Das CERT der Carnegie-Mellon-Universität listet weitere Lücken auf. Für das Web-Administrations-Interface ist ab Werk kein Passwort gesetzt. Wird ein Passwort vergeben, bringt es nicht viel Sicherheit, da das Passwort auf dem Client verifiziert wird. Somit können Angreifer gegenüber dem Router im entsprechenden Request einfach behaupten, es sei das richtige Passwort. Aufgrund eines weiteren Router-Bugs sind Angreifer auch in der Lage, die Session eines aktiven Nutzers zu übernehmen.

Das Router-Modell mit der Kennnummer F9K1102 v2 mit Firmware-Version 2.10.17 oder wahrscheinlich auch älterer ist davon betroffen. Beim Carnegie-Mellon-CERT werden die jeweiligen Lücken aufgelistet. Vier der fünf Lücken haben folgende CVE-Nummern erhalten:

* Use of Insufficiently Random Values: CVE-2015-5987
* Credentials Management: CVE-2015-5988
* Use of Client-Side Authentication: CVE-2015-5989
* Cross-Site Request Forgery (CSRF): CVE-2015-5990

Der Router sollte gegen unbefugten Zugriffen aus dem LAN abgesichert werden und es sollte ein möglichst robustes Passwort vergeben werden, empfiehlt das CERT. Allerdings ist noch nicht bekannt, was gegen die DNS-Lücke zu tun ist.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE