Sicherheitslücke in Linksys-Routern ermöglicht Command Injection

Table of Contents

Am 6. Mai 2024 wurden zwei Sicherheitslücken in Linksys-Routern entdeckt: CVE-2024-33788 und CVE-2024-33789. Diese Schwachstellen betreffen die Möglichkeit zur Command Injection in Linksys-Routern. Die Schwere dieser Sicherheitslücken hat laut BSI einen CVSS Base Score von 9.8/10, aber ein Proof-of-Concept wurde bereits veröffentlicht.

Die Sicherheitslücken wurden in Linksys E5000-Routern gefunden, die eine unzureichende Validierung von Benutzereingaben aufweisen. Bedrohungsakteure können diese Schwachstellen ausnutzen, um unautorisierte Befehle auf den betroffenen Geräten auszuführen.

CVE-2024-33788: Command Injection Schwachstelle

Diese Schwachstelle resultiert aus einer unzureichenden Eingabevalidierung, die beim Registrieren einer Geräte-PIN-Nummer unter Configure → Wi-Fi → Wi-Fi Protect Config Setting auftritt. In der Datei squashfs-root/usr/share/lua/runtime.lua an Zeile 1561 wird der Wert pt[“PinCode”] nicht gefiltert und direkt in der nächsten Zeile mit „os.execute(cmd)“ ausgeführt. Wenn die PIN-Nummer mit einem bösartigen Befehl versehen ist, wird dieser Befehl als Ausgabe auf dem Router ausgeführt und führt zur Command Injection.

CVE-2024-33789: Command Injection über Ping

Auch diese Schwachstelle resultiert aus einer unzureichenden Überprüfung des Eingabewerts für die IP- oder URL-Adresse beim Ausführen des Ping-Befehls. Dieser Ping-Test befindet sich im Menü TroubleShooting → Diagnostics des Routers und dient zur Überprüfung der Konnektivität. In der Datei squashfs-root/usr/share/lua/runtime.lua an Zeile 491 wird der Wert pt[“ipurl”] nicht gefiltert und in der nächsten Zeile mit „os.execute(cmd)“ ausgeführt. Daher führt die Eingabe eines bösartigen Wertes als URL oder IP-Adresse für den Ping-Befehl zur Command Injection.

Um diese Schwachstellen auszunutzen, benötigt ein Angreifer bestimmte Berechtigungen auf dem anfälligen Router. Nutzern dieser Produkte wird empfohlen, auf die neuesten Versionen zu aktualisieren, um zu verhindern, dass Bedrohungsakteure diese Schwachstellen ausnutzen.

Related Posts

Icon basierte DLL-Injektionstechnik in Windows Explorer entdeckt

Sicherheitsforscher auf Github haben eine raffinierte Icon basierte Methode zur DLL-Injektion in den Windows Explorer aufgedeckt, die das Ändern von Symbolen in Verzeichnissen ausnutzt. Diese Technik, die ohne die herkömmlichen DLL-Injektions-APIs auskommt, könnte von Cyberkriminellen genutzt werden, um Malware zu verbreiten oder Sicherheitsmaßnahmen zu umgehen.

Read More

Großes Datenleck bei Dell: Hacker bietet Daten zum Verkauf an

Dell steht im Mittelpunkt eines erheblichen Datenlecks, das durch den Bedrohungsakteur “Menelik” verursacht wurde. Die Daten, die angeblich von mehreren Nachrichtenplattformen bereits teilweise behandelt wurden, umfassen Informationen von etwa 49 Millionen Kunden, darunter sowohl individuelle Käufer als auch Unternehmen. Menelik behauptet, der alleinige Besitzer dieser Daten zu sein und plant, diese an genau eine Person zu verkaufen. Verschiedenen Quellen zu folge kam es durch eine verwundbare API zum Vorfall. Der Datensatz, der zurzeit vom Hacker angeboten wird, beinhaltet umfassende Informationen, darunter vollständige Namen von Personen oder Unternehmensnamen, Adressen, Städte, Provinzen, Postleitzahlen, eindeutige 7-stellige Servicenummern der Systeme, Versanddaten der Systeme (Bestelldaten), Garantiepläne, Dell Kundennummern und Dell Bestellnummern.

Read More

Fancy Bear kompromittiert Edge-Router für NTLM-Relay Angriffe

Die berüchtigte Hackergruppe Pawn Storm (Fancy Bear) hat eine ausgeklügelte Methode zur Kompromittierung von EdgeOS-Routern entwickelt, um eine Vielzahl von Cyberangriffen durchzuführen, einschließlich Spear-Phishing und dem Ausnutzen kritischer Sicherheitslücken. Die Angriffe beinhalten das Senden von Spear-Phishing-E-Mails, Callbacks für Exploits in Outlook durch die Schwachstelle CVE-2023-23397 und das Stehlen von Anmeldedaten auf Phishing-Websites. Anschliessend nutzen die Threat Actors kompromittierte Edge Router wie die Ubiquiti Router, bei denen kürzlich Schwachstellen bekannt wurden, als Command & Control C&C Steuereinheiten und NTLM Listener für den Abgriff von NTLM Hashes. Durch die oben genannte Outlook Schwachstelle können die Hacker dann bösartige Kalender Einladungen verschicken, die eine NTLMv2 Hash Relay Attacke auslösen.

Read More