In den Routern DIR-300 und DIR-600 der Firma D-Link fand der Sicherheitsexperte Michael Messner mehrere Sicherheitslücken und berichtete darüber in seinem Blog.
Dort zeigt er, wie man mit simplen POST-Parametern auf dem Linux-Betriebssystem der Router Linux-Befehle mit Root-Rechten ausführen kann. Viele der Geräte sind wohl auch aus dem Internet erreichbar.
Hinzu kommt zwar auch noch, dass das Root-Passwort im Klartext! in der Datei var/passwd steht – aber das macht den Kohl auch nicht mehr fett – man hat ja auch schon so Root-Rechte und braucht das Passwort gar nicht mehr auslesen.
Obwohl der Hersteller das schon im Dezember 2012 mitgeteilt bekam, will er kein Update herausgeben. D-Link hält das für ein „Browserproblem“.
Pingback: D-Link mit Firmware-Updates für unsichere Router | Klaus Ahrens: News, Tipps, Tricks und Fotos