Mehrere Sicherheitslücken in D-Link-Routern begünstigen Remote-Code-Execution

Am 30. Oktober 2020 veröffentlichte D-Link eine Support-Ankündigung und gab eine neue Firmware heraus. Diese sollten fünf Schwachstellen patchen, die Harold Zang, Technical Specialist des Spiderlabs-Teams von Trustwave im Rahmen seiner Sicherheitsforschung auf dem DSL-2888A-Router identifiziert hatte. Diese Sicherheitslücken können es einem böswilligen Nutzer des WLANs oder des lokalen Netzwerks ermöglichen, unberechtigt Zugriff auf das Router-Webinterface zu erhalten, sich den Passwort-Hash des Routers zu beschaffen, Anmeldeinformationen im Klartext abzurufen und Systembefehle auf dem Router auszuführen.

 

1. Schwachstelle: Unzureichende Authentifizierung (CVE-2020-24579)

Das Router-Webportal weist eine unzureichende Authentifizierung auf. Diese ermöglicht den Zugriff auf Administrationsseiten mit Authentifizierung, ohne dass das richtige Kennwort erforderlich ist. Ein böswilliger Benutzer, der sich im selben Netzwerk befindet, kann mit ungültigen Anmeldeinformationen direkt zu einer Administrationsseite mit Authentifizierung navigieren.


Info
: Im Blogbeitrag dazu von Trustwave finden sich ein Video, das diese Schwachstelle demonstriert. Darüber hinaus finden sich im Blogbeitrag begleitendes Bildmaterial der jeweils erläuterten Schritte:
https://www.trustwave.com/de-de/resources/blogs/spiderlabs-blog/d-link-multiple-security-vulnerabilities-leading-to-rce/


2. Schwachstelle: Datenleck (CVE-2020-24577)

Nach dem Herstellen einer Verbindung zum Netzwerk, entweder über eine physische Verbindung oder über einen drahtlosen Zugang, kann ein Angreifer den Benutzernamen und das Kennwort der Internetproviderverbindung sowie den Benutzernamen und das Kennwort des WLAN-Routers im Klartext erhalten, indem er direkt zu den folgenden URLs navigiert:

http://DeviceIP:8008/tmp/cfg/lib_cfg_cfgcmd
http://DeviceIP:8008/tmp/.nvram

3. Schwachstelle: FTP-Fehlkonfiguration (CVE-2020-24578)

Der Router D-Link-DSL-2888A verfügt über eine File-Sharing-Funktion, mit der Benutzer Dateien für andere Netzwerkbenutzer freigeben können, indem sie dem Router ein externes Laufwerk hinzufügen. Dieses wird dann über FTP (File-Transfer-Protocol) geteilt. Der FTP-Dienst ermöglicht es einem Netzwerkbenutzer allerdings, den geteilten Ordner zu verlassen, um auf das Dateisystem des Routers zuzugreifen und andere Dateien aus dem Root-Verzeichnis herunterzuladen.

Im Folgenden ein Beispiel für den Download des „passwd“:

Über den folgenden Befehl auf einem FTP-Client lässt sich eine Verbindung zum FTP-Dienst mit gültigen Anmeldeinformationen herstellen (durch Ausnutzung der 2. Schwachstelle erhalten).
ftp <DeviceIP>

Mittels Eingabe des folgenden Befehls gelangt der Nutzer zum Root-Verzeichnis.
ftp>cd /

Der nächste Befehl ermöglicht den Download der Passwort-Hash-Datei.
ftp>cd etc/
ftp>get passwd

Der Angreifer muss sich zuerst die FTP-Anmeldeinformationen beschaffen. Durch die zweite von Harold Zang aufgedeckte Schwachstelle hat der Angreifer diese Informationen bereits im Klartext erhalten.

4. Schwachstelle: Versteckte Funktionen (CVE-2020-24581)

Über versteckte Funktionen, die auf dem Interface des Router-Webportals nicht verfügbar sind, kann ein authentifizierter Benutzer im Router Linux-Betriebssystembefehle ausführen.

Hierbei handelt es sich um eine Proof of Concept-URL:
http://DeviceIP/cgi-bin/execute_cmd.cgi?timestamp=1589333279490&cmd=ls

Durch die Ausführung von Betriebssystembefehlen auf einem Router kann ein Angreifer den Netzwerkverkehr überwachen, um an sensible Daten – einschließlich Login-Daten – zu gelangen. Diese Schwachstelle könnte es ihm außerdem ermöglichen, Backdoors auf dem Router zu installieren.

Obwohl die Ausnutzung dieser Schwachstelle eine Authentifizierung erfordert, bietet die erste gefundene Schwachstelle (CVE-2020-24579) eine Möglichkeit, die Authentifizierung zu umgehen.

5. Schwachstelle: Unzureichende Authentifizierung (CVE-2020-24580)

Auch bei der letzten Sicherheitslücke, auf die Harold Zang gestoßen ist, handelt es sich um eine unzureichende Authentifizierung. Der Router verwendet die Quell-IP-Adresse eines sich verbindenden Benutzers, um die Authentifizierung durchzuführen. Dadurch kann ein Angreifer die IP-Adresse eines legitimen Benutzers mit einer gültigen Session vortäuschen, indem er die IP-Adresse in die eines Benutzers mit Administratorrechten ändert. Auf diese Weise erhält er Zugriff auf Administrationswebseiten mit Authentifizierung.

Info: Trustwave-Warnmeldung TWSL2020-011: https://www.trustwave.com/en-us/resources/security-resources/security-advisories/?fid=28241

#Trustwave