Privilege Escalation in D-Link Router DIR-X4860 möglich

Table of Contents

Eine Sicherheitslücke CVE-2024-34070 im D-Link Router DIR-X4860 ermöglicht es Angreifern, die über den HNAP-Port (HTTP Network Access Protocol) zugreifen können, erhöhte Privilegien zu erlangen und Befehle als root auszuführen. Durch die Kombination einer Authentifizierungsumgehung mit der Befehlsausführung kann das Gerät vollständig kompromittiert werden.

Betroffene Versionen

  • DIR-X4860: Version DIRX4860A1_FWV1.04B03 und darunter

Technische Analyse

1. Authentifizierungsumgehung im HNAP-Login:
Eine Schwachstelle in der Implementierung des Authentifizierungsalgorithmus ermöglicht es einem Angreifer, den Login-Prozess zu umgehen und erhöhte Privilegien zu erlangen. Dies geschieht durch das Senden speziell gestalteter Anfragen an den HNAP-Port, der über TCP-Ports 80 und 443 zugänglich ist. Der Fehler liegt in der Datei /bin/prog.cgi und der Funktion handle_login_request.

Beispiel einer bösartigen Anfrage:

<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
  <soap:Body>
    <Login xmlns="http://purenetworks.com/HNAP1/">
      <Action>request</Action>
      <Username>Admin</Username>
      <LoginPassword/>
      <Captcha/>
    </Login>
  </soap:Body>
</soap:Envelope>

2. Befehlsausführung durch fehlerhafte Validierung:
Eine weitere Schwachstelle in der Funktion SetVirtualServerSettings ermöglicht es einem Angreifer, beliebigen Code im Kontext des root-Benutzers auszuführen. Diese Schwachstelle liegt ebenfalls in der Datei /bin/prog.cgi und betrifft die Verarbeitung der LocalIPAddress-Parameter.

Proof of Concept (PoC)

Ein Proof-of-Concept-Exploit wurde erstellt, um die Schwachstellen auszunutzen. Der Exploit ermöglicht es einem Angreifer, schädliche Befehle auszuführen und so die Kontrolle über den Router zu übernehmen.

Mögliche Auswirkungen

Die Auswirkungen dieser Schwachstellen sind schwerwiegend:

  • Erhöhte Privilegien: Ein Angreifer kann root-Zugriff auf das Gerät erlangen.
  • Datenverlust: Sensible Daten wie Anmeldeinformationen und Sitzungs-Token können gestohlen werden.
  • Volle Kontrolle: Der Angreifer kann die gesamte Anwendung kompromittieren, was zu einer vollständigen Kontrolle über den Router führt.

Da der Hersteller D-Link auf mehrere Kontaktversuche in den letzten 30 Tagen nicht reagiert hat, sollten Benutzer die folgenden Maßnahmen ergreifen, um sich zu schützen:

  • Firmware-Update: Installieren Sie die neueste Firmware-Version 2.1.9, die die Schwachstellen behebt.
  • Netzwerkschutz: Blockieren Sie den Zugriff auf den HNAP-Port von untrusted Netzwerken.
  • Eingabevalidierung: Implementieren Sie gründliche Eingabevalidierungs- und Bereinigungsmechanismen für alle Benutzereingaben.

Die entdeckten Sicherheitslücken im D-Link Router DIR-X4860 sind äußerst kritisch und erfordern sofortige Maßnahmen seitens der Benutzer, um die Sicherheit ihrer Netzwerke zu gewährleisten. Es wird dringend empfohlen, die Firmware zu aktualisieren und zusätzliche Schutzmaßnahmen zu implementieren, um sich vor möglichen Angriffen zu schützen.

Related Posts

PostgreSQL: COPY-Befehl erlaubt System-Shell Zugriff

PostgreSQL hat sich als robustes und flexibles Datenbanksystem etabliert. Dennoch gibt es bestimmte Funktionen, die von Angreifern ausgenutzt werden können, wenn sie nicht ordnungsgemäß gesichert sind. Eine solche Funktion ist der COPY-Befehl, der sich als Achillesferse von PostgreSQL herausgestellt hat. Nachfolgend wird erläutert, warum dieser Befehl bei Hackern beliebt ist und wie er ausgenutzt werden kann.

Read More

QakBot-Angriffe mit Windows Zero-Day CVE-2024-30051

In einem detaillierten Bericht über die Windows DWM Core Library Elevation of Privilege Vulnerability (CVE-2023-36033), entdeckten Sicherheitsforscher von Kaspersky Anfang April 2024 einen kritischen Zero-Day-Exploit für Windows. Dieser neue Exploit ermöglicht Angreifern die Eskalation von Systemprivilegien.

Read More

MS-SQL: Betriebssystem Übernahme durch xp_cmdshell und CLR-Assembly

Microsoft SQL Server (MS-SQL) sind ein bevorzugtes Ziel für Brute-Force-Angriffe. Ein Blogbeitrag von secoia.io zeigt auf warum das so ist. Die MS-SQL Features xp_cmdshell und CLR-Assembly erlauben es Angreifern, Rechte zu eskalieren und Befehle auf Betriebssystemebene auszuführen - ideale Vorraussetzungen für Ransomware und Malware Deployments.

Read More