Sicherheitslücke in D-Link Routern

19. Januar 2010 Kategorie: News

Die für D-Link Router gemeldeten Sicherheitsschwachstellen im HNAP-Protokoll (Home Network Administration Protocol) beschreiben eine Sicherheitslücke in drei Router-Modellen für den US-amerikanischen Markt: Typ DI-524 (HW-Revision C1, Firmware-Revision 3.23), DIR-628 (HW-Revision B2, Firmware-Revisionen1.20NA und 1.22NA) und DIR-655 (HW-Revision A1, Firmware-Revision 1.30EA).

Die aufgeführten Router-Modelle wurden angeblich in Deutschland, Österreich und der Schweiz zu keinem Zeitpunkt vertrieben. D-Link hat inzwischen geprüft, inwieweit die gemeldete Sicherheitslücke auch in Deutschland, Österreich und der Schweiz erhältliche Router betrifft.

Folgende Modelle besitzen keinerlei Implementierung von HNAP bzw. sind nach Tests des Herstellers nicht über das Protokoll ansprechbar: DI-304, DI-524, DI-604, DI-624, DI-724GU, DI-804HV, DIR-100, DIR-300, DIR-301, DIR-320, DIR-600, DIR-615, DIR-685, DIR-825, DSL-2543B, DSL-2641B, DSL-2740B, DSL-2741B, DVA-G3342SD, DVA-G3342SB.

Gleiches gilt für nicht aufgeführte, ältere Router-Modelle sowie weitere Produktkategorien wie Switches, NAS oder Printserver.

D-Link DI-524 Wireless Router

Bei drei aktuell im Handel erhältlichen Router-Modellen wurde für einzelne Hardware-Revisionen eine Sicherheitslücke im HNAP-Protokoll festgestellt. Parallel zu den Tests konnte D-Link hier sofort einen Lösungsansatz erarbeiten. So stehen für die Modelle DIR-635 (HW-Revision B), DIR-655 (HW-Revision A) und DIR-855 (HW-Revision A2) sowie für in der Vergangenheit ausgelieferte Modelle vom Typ DIR-615 (HW-Revision B1-B3) ab sofort Firmware Updates unter ftp.dlink.de zur Verfügung.

Die Firmware Updates sind ebenfalls auf der D-Link Webseite www.dlink.de als Download im Bereich ‚Service & Support‘ bei den betroffenen Modellen zu finden.

Ferner bietet D-Link unter den angegebenen Links für die bereits abgekündigten Router DI-634M (HW-Revision B1) und DIR-635 (HW-Revision A) innerhalb der nächsten Tage neue Firmware Lösungen zum Download an.Die Firma betont, dass es sich bei dieser Sicherheitslücke nicht um einen absichtlich versteckten Administratorzugang handelt.


Weitere Artikel und Tests

Sicherheitslücke in D-Link Routern    Hardwarejournal.de    19. Januar 2010