kurios.at Blog

… stay tuned to the kurios.at Imperium

Wie heise.de Security heute berichtet hat, gibt es eine schwere Root Sicherheitslücke in der unter GPL stehenden alternativen Firmware “DD-WRT”.


Es ist Angreifern möglich Kommandos direkt auszuführen, ohne dass dafür ein Login benötigt wird.
Man kann es selbst testen, indem man folgende Adresse probiert: http://192.168.x.x/cgi-bin/;reboot.
Der Router sollte sich nun, ohne dass man sich Authentifizieren muss, selbstständig rebooten. Anstatt 192.168.x.x muss man natürlich die IP des Routers angeben.

Ist der Router also von aussen zugänglich, kann jeder den Router bedienen und Programme ausführen und so die Herrschaft über das Gerät erlangen.

Um das Problem zumindest bis zum Patch zu umgehen, empfiehlt es sich, das Webinterface Richtung WAN zu deaktivieren.
Dies funktioniert so: Administration -> Remote Access – Web GUI Management -> Disable -> Apply Settings.
Auch ein ändern des Zugriffports könnte die Chance eines Angriffes verringern.

Update 23. Juli 2009 10:54:
Die DD-WRT Entwickler raten zur folgenden Firewall Rule

Go to your router, “Administration”, “Commands” and enter the follwing text:

insmod ipt_webstr
iptables -I INPUT -p tcp -m tcp -m webstr –url cgi-bin -j REJECT –reject-with tcp-reset

and press “Save Firewall”, then reboot your router.

This rule blocks any try to access sth that has “cgi-bin” in the url.

You can proove, that the rule works by entering: http://192.168.x.x/cgi-bin/;reboot in your browser. That should give a “Connection was reset” (Firefox).

Links:
DD-WRT
heise.de Security

Post to Twitter Post to Delicious Post to Digg Post to Facebook

No Comments :(

Comments are closed.