Verfasst am: 10.01.2010 19:50 Titel: Diskussion zum akt. Thema: Versteckter Administrator-Zugang auf D-Link-Routern
Wie heute akt. bekannt wurde, gibt es in etlichen seit 2006 vekauften D-Link Routern eine erhebliche Sicherheitslücke wegen einer fehlerhaften Implementierung des Home Network Administration Protocol (HNAP). Diese könnte unautorisierten Peronen administrativen Zugang verschaffen.
Zitat: Nach Angaben der Webseite SourceSec Security Research sind zahlreiche – möglicherweise sogar alle – seit 2006 angebotenen Router der Firma D-Link von einer fehlerhaften Implementierung des Home Network Administration Protocol (HNAP) betroffen. Dies können lokale und externe Angreifer ausnutzen, um Zugriff auf die Netzwerkeinstellungen zu erhalten.
...
Quelle und ganzen Artikel hier lesen: http://www.heise.de/newsticker/meldung/Versteckter-Administrator-Zugang-auf-D-Link-Routern-900341.html
Zitat: D-Link Routers: One Hack to Own Them All
January 9th, 2010
We’ve been on hiatus over the past few months working on other projects, but last week we re-focused on D-Link routers. While we previously found a flaw in D-Link’s CAPTCHA implementation, this time around we’ve found a way to view and edit D-Link router settings without any administrative credentials.
The short story is that D-Link routers have a second administrative interface, which uses the Home Network Administration Protocol. While HNAP does require basic authentication, the mere existence of HNAP on D-Link routers allows attackers and malware to bypass CAPTCHA “security”. Further, HNAP authentication is not properly implemented, allowing anyone to view and edit administrative settings on the router.
HNAP appears to have been implemented in D-Link routers since 2006, and cannot be disabled. We have verified that vulnerabilities exist in the HNAP implementations of the DI-524, DIR-628 and DIR-655 routers, and suspect that most, if not all, D-Link routers since 2006 are vulnerable.
You can read our full write-up here, and download our POC tool, HNAP0wn, here.
Quelle und ganzen Artikel hier lesen: http://www.sourcesec.com/2010/01/09/d-link-routers-one-hack-to-own-them-all/
Diese extrem gefährliche Sicherheitslücke bei etlichen D-Link Routern können lokale und auch extern Angreifer ausnutzen um Zugriff auf die Netzwerkeinstellungen zu erhalten. Ein evtl. Zugriff auf alle im vorhanden Netzwerk vorhanden Clients und den darauf befindlichen privaten Daten wäre also dann ebenfalls möglich. Dieser Umstand dürfte bei allen Privat- und Firmenbesiziter von D-Link Routern sicherlich zu einem unwohlem Gefühl führen
Leider wurde (nach meinem Kenntnisstand) bisher noch keine sachliche und ausführliche Stellungnahme von D-Link dazu herausgegeben. Ob das überhaupt geschehen wird bleibt abzuwarten, denn in der Vergangenheit gab es auch niemals Stellungnahmen von D-Link zu u.a. auch bekannt gewordenen Sicherheitslücken in den D-Link Geräten.
Ich empfehle daher als 1te Maßmahme ALLEN D-Link Router Besitzern ebenfalls den im Webinterface des Routers vorhandene User Account per mind. 8 stelligem Passwort zu sichern.
Hier einige Links zu Infos zu diesem D-Link Router Sicherheitsproblem:
Da viele D-Link Router Besitzer nun sicherlich etwas beunruhigt sein werden, was absolut nachvollziehbar ist, haben wir nun diesen Diskussionsthread mit Umfrage dazu eröffnet.
Ihr seid also eingeladen Euch in diesem Thread sachlich und fachlich auszutauschen. Bitte nimmt auch an der Umfrage teil.
Ich bin nicht erschüttert das DLINK so etwas passiert.
Bzw. hätte auch jeden anderen treffen können es wird wohl nur interresant sein wie nun D-link reagiert, da doch einige Firmware Releases angepasst werden müssten um den Kunde die Möglichkeit zu bieten diesen Fehler zu fixen.
Und das wohl bei dem derzeitigen Fachkräfte Mangel bei D-Link wohl recht lange dauern wird.
Vielleicht freuen sich ja auch die Kabel BW Kunden bei uns bald über einen neuen Router (falls D-Link den Fehler publik machen sollte) :)
Naja jedenfalls teu teu teu ... keine D-LINK Router bei mir um die ich mich sorgen müsste. :D
neoLitic hat folgendes geschrieben:
Ich bin nicht erschüttert das DLINK so etwas passiert.
Bzw. hätte auch jeden anderen treffen können es wird wohl nur interresant sein wie nun D-link reagiert, da doch einige Firmware Releases angepasst werden müssten um den Kunde die Möglichkeit zu bieten diesen Fehler zu fixen.
Und das wohl bei dem derzeitigen Fachkräfte Mangel bei D-Link wohl recht lange dauern wird.
Vielleicht freuen sich ja auch die Kabel BW Kunden bei uns bald über einen neuen Router (falls D-Link den Fehler publik machen sollte) :)
Naja jedenfalls teu teu teu ... keine D-LINK Router bei mir um die ich mich sorgen müsste. :D
-->Ich hoffe AVM hat nich auch sowas in petto<--
Moin neoLitic
Evtl. ist die Bez. "erschüttert" etwas zu massiv, allerdings war das genau die Aussage eines Anrufers gestern, der von Kabel Deutschland einen D-Link DI-524 bekommen hat und sich nun (wohl heute), nachdem ich ihm keine 100% Sicherheitslösung geben konnte, einen neuen Router einer anderen Firma kaufen will.
Anderseits wirbt D-Link mit eigenen Aussagen wie:
"D-Link, führender Anbieter von Netzwerk- und Kommunikationslösungen" und "D-Link, 1986 gegründet und weltweit mit mehr als 30 Niederlassungen sowie Fertigungsstätten in Taiwan, den USA, China und Indien vertreten, ist ein führender Anbieter von Netzwerk- und Kommunikationslösungen sowie Marktführer im Bereich Consumer Network Connectivity."
da kann man als Kunde sicherlich erwarten, dass so eine Firma dann ihre Geräte intensiv auch auf Sicherheitslücken testet. Zumal es a) um einige D-Link Geräte geht die seit 2006 (!) also seit Jahren im Umlauf sind und für die zwischenzeitlich etliche neue Firmwares hergestellt wurden und b) ist das Home Network Administration Protocol (HNAP) Protokoll ja nun nichts neues.
Für mich gab und gibt es außerdem auch gar keinen vernünftigen Grund, warum in solchen SOHO Routern neben einem Adminzugang auch noch ein Userzugang mit lediglich Leserechte vorhanden sein muss.
Zitat: Derzeit ist noch ungewiss, ob alle Router die von der dem Hersteller seit 2006 hergestellt und ausgeliefert wurden von dem Problem betroffen sind. Die fehlerhafte Implementierung des Home Network Administration Protokoll kann unter Umständen von Angreifern dazu genutzt werden, sich unerlaubten Zugriff auf die Netzwerkeinstellungen zu verschaffen. Sicherheitsexperten stellten fest, dass die Router der Firma D-Link neben dem eigentlichen Administrator-Zugang einen nicht abschaltbaren HNAP-Zugang enthalten.
Quelle: http://www.virenschutz.info/beitrag-Unzaehlige-Router-mit-zusaetzlichen-Administrationszugang-ausgeruestet-3169.html
Da nach meinem Kenntnisstand die meisten D-Link Firmwares nicht in Europa sondern in Asien hergestellt werden, ist fraglich wann es für die betroffenen Geräte (überhaupt) Firmwareupdates gibt und wenn, ob diese dann auch zu 100% sicher und fehlerfrei sein werden.
Unabhängig von der Sicherheitslücke durch den von mir als unnötig bezeichneten zusätzlichen Useraccount in etlichen D-Link Routern, scheint es sich um die hiesige neu herausgefiundene Sicherheitslücke in etlichen D-Link Routern die seit 2006 von D-Link auf den Markt gebracht wurden, um eine zwar nicht vorsätzliche vorgenommene Sicherheitslücke aber dennoch um ein von D-Link gewolltes Feature, das Home Network Administration Protocol (HNAP) zu handeln.
D-Link hat dieses Home Network Administration Protocol (HNAP) scheinbar deswg. implementiert, damit ihr für etliche Router auf der beiliegenden CD liegende "Quick Setup-Assistent" Programm, von D-Link auch "D-Link Click’n’Connect" bezeichnet, funktioniert.
Mit diesem D-Link "Quick Setup Router Install" (D-Link Click’n’Connect) Programm ist es möglich einen Router ohne Kenntniss der jeweils richtigen TCP/IP Einstellungen und dem Administrator Kennwort anzuzeigen und/oder zu ändern bzw. einzurichten.
HNAP ist ein SOAP based Protokoll, das eine gemeinsame Schnittstelle für die administrative Kontrolle eines vernetzten Geräts bietet.
Wie wir seit Jahren immer wieder den Anwendern mitteilen, ist dieses D-Link "Quick Setup Router Install" (D-Link Click’n’Connect) Programm gar nicht notwendig.
Bei dieser von D-Link vorgenommen HNAP Implementierung hat man sich bei D-Link so wie es aktuell zu sein scheint, wohl seit Jahren keine Gedanken über die dadurch entstandene/entstehende Sicherheistlücke gemacht oder nicht machen wollen.
In den technischen Spezifiktionsangaben von D-Link zu ihren betrofffenen Geräten ist jedenfalls für mich bisher kein Hinweis auf das implementierte Home Network Administration Protocol (HNAP) zu finden.
Diese von D-Link wg. dem "Quick Setup Router Install" (D-Link Click’n’Connect) Programm absichtlich eingebaute Sicheritslücke ist "simpel" ausgedrückt in etwa damit zu vergleichen, als wenn jemand mit einem Tool, Gerät was auch immer eine verschlossene Autotür aus der Ferne öffnen kann, ohne das er im Besitz des richtigen, passenden Schlüssels ist. Mit "Tool und Gerät und was auch immer" meine ich nun natürlich nicht einen Hammer oder ähnliches Werkzeug!
Seit Jahren predigen wir bei uns (DL-Support) und auch ich allen meinen Freunden, Bekannten und Kunden, dass sie ihre D-Link Router mit einem guten Adminpasswort sichern sollen. Und nun scheint dieses der Sicherheit dienenden Vorgehensweise auch nicht mehr sicher zu sein. {(*,)
Leider hat D-Link auch bis jetzt keine sachliche Stellungnahme dazu veröffentlicht. Jedenfalls ist mir aktuell keine von D-Link dazu bekannt.
Ps. Sind evtl. auch die D-Link DNS-NAS die ja ebenfalls über das Tool "Easy Search Utillity" (ESU) als sog. D-Link Click´n Connect einzurichten zu sind von dieser Sicherheitslücke betroffen?
Also zum Thema NAS kann ich dir versichern das dort kein Bug dieser Sorte mehr enhalten ist.
Da immer wieder direkt auf die webpage bzw. Teilen davon zurück gegriffen wird.
Seinerzeit war es ja auch möglich mit dem Web Pfad bestimmte Funktionen ohne Anmeldung auszuführen was dem Router Problem ja wohl in nichts nachstehen dürfte.
Nun muss ich mich etwas aus dem Fenster lehnen wenn ich sage das D-LINK dieses Problem sogar seinerzeit vor Conceptronic erkannt hatte und mit einer neun Firmware die Verschlüsselung der Web Pfade implementiert hat.
Darauf haben wir uns füher ja auch wegen dem Shutdown und Reboot Tool berufen was dann bei Conceptronic ab FW 1.05x nicht mehr funktioniert hat.
Soweit es mir auch bekannt ist kannst du im NAS auch keinen direkten User anlegen der sich mal so die Konfiguration anschauen kann bzw. mit dem Easy Search Tool das Gerät konfigurieren ohne das du das PW weist, wenn du es schon einmal eingerichtet hast.
Denn nicht nur D-Link benutzt solche Tools ... Linksys, Netgear, Cisco und einige LevelOne Geräte können so für den Benutzer konfiguriert werden.
Wobei ich dir etwas wiedersprechen muss denn diese Tools auf den CDs machen es Leuten die nicht jeden tag damit zutun haben relativ einfach auf unkomplizierte weise udn ohne Erfahrung Ihren router einzurichten und je nach Setup Assistenten auch entsprechend zu schützen.
Gegen ein starkes Passwort kann man nichts sagen ... naja vllt. die Deutsche Telekom .. aber selbst die haben nach 5 Jahren mit Speedport dazu gelernt udn das Standard PW von 0000 auf verschiednen PWs geändert.
Sodele das war mal das was mir zuerst einfiel nachdem ich deine Posts gelesen habe .... es geht aber weiter.
D-Link Spezialist in bla bla bla
TP-Link größter und führende Netzwerkspezialist in China ... bla bla bla
Netgear .... bla bla bla
LevelOne bla bla bla
Linksys ... Qulität vom Markführer Cisco bla bla bla
Ich glaub Ihr wisst was ich meine .... Werbnug in eigener Sache.
Ja klar jeder hersteller lässt seine Fws zumeist in Fern Ost schreiben und dann durch die zumeist örtliche Qulitätskontolle rauschen.
Dort entgeht immer eine Menge sonst würde es ja nicht bei manchen Produkten innerhalb von 3 Monaten 3 neue FWs geben.
Der Markt gibt den Ton an und da bleibt nicht die zeit und auch nicht das Geld übrich um so etwas ausgiebig zu testen.
Bestes Beispiel (fällt mir gerade so ein) die hochgelobte HorstBox ... großer Angriff von D-Link auf AVM FritzBox ...was ist daraus geworden?
Ein Parrade Beispiel für schlechte Arbeit. ... (soll nicht heißen das die Box schlecht ist aber halt erst nach über 10 FW Releases).
Von daher D-Link alles Gut und schön aber man soll es nicht überbewerten so etwas ist zwar unschön wird aber wohl nicht das letzte große Sicherheitsloch gewesen sein was einem Hersteller für Netzwerkkomponenten unterlaufen ist.
Microsoft veröffentlicht schließlich auch Updates Monate später obwohl die Sicherheitslücken bekannt sind... und das steht ja wohl kaum noch in den News (weil es sowieso jeder weis aber keiner was daran Ändern kann).
Sodele hoffe die Ironie kann man erkennen und für alle betroffenen D-Link Besitzer ... Gott möge euch beistehen ... Gott ist dann ein Programmierer in Fern Ost der hoffentlich Lust hat an Fws ab 2006 nocheinmal Änderungen vor zunehemen :)
neoLitic hat folgendes geschrieben:
A) Denn nicht nur D-Link benutzt solche Tools ... Linksys, Netgear, Cisco und einige LevelOne Geräte können so für den Benutzer konfiguriert werden.
B) Wobei ich dir etwas wiedersprechen muss denn diese Tools auf den CDs machen es Leuten die nicht jeden tag damit zutun haben relativ einfach auf unkomplizierte weise udn ohne Erfahrung Ihren router einzurichten und je nach Setup Assistenten auch entsprechend zu schützen.
Moin neoLitic
A) Das ist richtig.
B) Dein "Widersprechen" akzeptiere ich ebenfalls. Allerdings sollte dann auch ein Hersteller wie D-Link seine (u.a. unkundigen) Endkunden auf so eine Sicherheitslücke genau und vor allem im voraus hinweisen!
Wenn ich mir ein Sicherheitstürschloss kaufe, was ich mit einem vom Hersteller beiliegenden "for you Noob" Programm schnell und unkompliziert einrichten kann, dann erwarte ich doch auch, dass mich der Hersteller über die sicherheitsrelevanten Gefahren vorher informiert. Und nicht, dass ich sowas dann nach 4 (!) Jahren per Zufall im Internet nachlesen darf!
Die Implementierung des Home Network Administration Protocol (HNAP) war von D-Link gewollt und scheinbar absichtlich nicht von D-Link an ihren Endkunden kommuniziert. Ansonsten hätte es D-Link in allen Data-Sheets (den technischen Spezifikationen) der betreffenden Geräten auch aufgeführt.
Und da dieses seit 4 Jahren nicht der Fall war gibt es doch (fast) nur zwei Möglichkeiten:
a) der Firma D-Link war diese Sicherheitslücke seit Anfang an, also seit der Implementierung bekannt
oder aber
b) bei D-Link gibt es weder eine qualtitative Sicherheitsabteilung die D-Link Gerätschaften und D-Link Programme intensiv auf Sicherheitslücken überprüft.
Wenn eine seit 20 Jahre weltweit operierende Netzwerk-Hardwarefirma wie D-Link nicht weiss was das Home Network Administration Protocol (HNAP) ist und dennoch damit rumwurschtelt, dann ist das doch ein Armutszeugnis für D-Link!
neoLitic hat folgendes geschrieben:
Also zum Thema NAS kann ich dir versichern das dort kein Bug dieser Sorte mehr enhalten ist.
Moin neoLitic
Sicher bin ich mir da jedenfalls im Fall der D-Link DNS-313 nicht, denn auch diese wird über die D-Link Click’n Connect Software eingerichtet. Und das kann doch nur wie im Fall der betroffenen D-Link Router über das Home Network Administration Protocol (HNAP) laufen.
1) D-Link hat nach meinem Kenntnisstand immer noch keine offizielle Stellungnahme zu diesem Problem veröffentlicht. Das verwundert mich nach jahrelanger Erfahung mit D-Link und bekannt gewordener Probleme mit D-Link Geräten eigentlich auch nicht mehr. Meine Meinung dazu: "D-Link the world leading network pioneer im Aussitzen" {(*,)
2) Inzwischen ist mir bekannt geworden, dass etliche Personen (ja selbst die D-Link Haus-Foren Moderatoren!!!) der Meinung sind, das hiesige Sicherheitsproblem würde lediglich einige D-Link Router mit USA und/oder Asien Firmware betreffen.
Das ist nach meinem Kenntnisstand aber nicht richtig, sondern falsch, denn:
a) Benutzen alle seit 2006 von D-Link betroffenen Router weltweit!!! diese "D-Link Click’n Connect Software" und diese funktioniert scheinbar nur über das Home Network Administration Protocol (HNAP). Also über den versteckten und von D-Link nicht dokumentierten zusätzlichen Administratorzugang.
b) Ist es unrelevant ob nun jemand (auch nachträglich) eine USA oder Asia Firmware für seinen betroffenen Router einsetzt. Der Einsatz so einer Firmware beeinträchtigt evtl. die Funktionalität in europäischen Ländern (ISP und WLAN Problem) aber deaktiviert nach meinem Kenntnisstand keinesweg diese Sicherheitslücke durch den zusätzlichen Administratorzugang.
Oder so ausgedrückt: Mit einer D-Link Europa Firmware wird also ebenso weder diese Sicherheitslücke geschlossen noch das Home Network Administration Protocol (HNAP) deaktiviert.
c) Unterschiedliche D-Link Router Hardware-Revisionen sagen lediglich etwas über eben unterschiedlich verbaute Bauteile, und sei es lediglich ein WAN/LAN Chip, aus. Das hat mit der von D-Link vorgenommen Implementierung des Home Network Administration Protocol (HNAP) nichts zu tun. Auch in USA und Asien und meinetwg. in Timbukto liefert D-Link ihren Kunden für die betroffenen Router das "D-Link Click’n Connect Software" mit, damit die dortigen Endkunden ihre Router über dieses sinnlose und wie nun bekannt, gefährlich Tool bzw. das damit benutzte HNAP Protokoll einrichten können.
Ich teile deine Ansichten in Hinsicht der Infomationspolitik muss aber zu bedenken geben das Ja auch kein Software Hersteller warnt ... Z.B. diese Software kann wegen Fehlern der Programmierern nicht auf jedem System funktionieren oder Funktion nur eingeschränkten Dienst leisten oder zu jedem PC mit Microsoft evtl. Sie sollten 1 mal min. pro monat Windows Updates installieren, sich Treiber technisch immer auf aktuellem Stand begeben und so ganz neben bei sich noch einen Anti Viren Schutz kaufen da unser System gern und oft gehackt oder mit Viren verseucht wird. <-- naja das bei nem Windows wäre wenigstens Ehrlich :P
Und zum NAS ... ich enge das etwas weiter ein ... beim DNS-323 und dem Conceptonic CH3SNAS und dem CH3MNAS schließe ich das aus (siehe Post oben).
Ich tendiere aber auch dazu das dieser Zugang von D-Link bewusst offen gelassen wurde und deswegen auch nirgends Dokumentiert wurde, zwecks Konfiguration, Reparaturen etc. so wie man das eben auch von Spielen oder Software kennt wo sich die Programmierer auch immer min. eine Hintertür lassen.
Sodele erstmal soviel ... bin mal gespannt ob sich D-Link ma dazu äußert, bis dahin jeden falls ... Gute Nacht.
neoLitic hat folgendes geschrieben:
1) Ich teile deine Ansichten in Hinsicht der Infomationspolitik muss aber zu bedenken geben das Ja auch kein Software Hersteller warnt ...
2) Und zum NAS ... ich enge das etwas weiter ein ... beim DNS-323 und dem Conceptonic CH3SNAS und dem CH3MNAS schließe ich das aus (siehe Post oben).
3) Ich tendiere aber auch dazu das dieser Zugang von D-Link bewusst offen gelassen wurde und deswegen auch nirgends Dokumentiert wurde, zwecks Konfiguration, Reparaturen etc. so wie man das eben auch von Spielen oder Software kennt wo sich die Programmierer auch immer min. eine Hintertür lassen.
Moin neoLitic
1) Das sehe ich anders, denn was in solchen Fällen die Infomationspolitik von Herstellern betrifft gibt es da schon gewaltige Unterschiede. Einige reagieren ganz schnell mit einer eigenen Veröffentlichung, andere niemals und widerrum andere erst dann wenn der Druck von außen zu groß wird.
Ich orientiere mich da auch nicht an den schlechtesten Beispielen, sondern eher an den besseren.
Hier mal ein Bsp. von Netgear, als bekannt wurde, dass es "evtl." zu einer Fehlfunktion in einem der Netgear PowerLine Adpatern kommen "kann".:
http://www.golem.de/0801/56808.html
Netgear hat sofort entsprechende Tests durchgeführt mit einer Information regaiert und sogar kostenlosen Umtausch angeboten.
https://my.netgear.com/myNetgear/checkxe103.asp
2) Ja, das sehe ich inzwischen auch so.
3) Dazu kann ich nichts sagen, denn das wäre ja spekulativ. Wen dem aber so sein sollte, dann wäre das schon ein Klopper. Das wäre ja so als würde man sich ein Sicherheitsschloss kaufen und der Hersteller verschweigt, dass er im Besitz eines passenden Schlüssels ist.
Telefon Support
|
