Über seinen Blog hat der Sicherheitsexperte Michael Messner gravierende Schwachstellen in den beiden D-Link-Router-Modellen DIR-300 und DIR-600 aufgedeckt. Ohne Passwort oder Authentifizierung könnten darüber mit einem POST-Parameter Linux-Befehle mit Root-Rechten auf den Geräten ausgeführt werden.
Die Sicherheitslücke kann nicht nur intern, sondern auch über das Internet ausgenutzt werden. Ein Angreifer könnte die Schwachstelle unter anderem nutzen, um den gesamten Online-Verkehr des D-Link-Router-Besitzers über seine eigenen Server umzuleiten. Wer seinen Router nicht direkt mit dem Internet verbunden hat, sollte sich jedoch nicht in Sicherheit wiegen. Über eine präparierte Website könnten Hacker den Nutzer dazu bringen, den Skript-Aufruf über das lokale Netz an den Router zu schicken.
Neben der empfindlichen Root-Schwachstelle hat Messner auch noch weitere Lücken in den beiden D-Link-Modellen aufgedeckt. So dürfte es selbst für Laien kein Problem darstellen, das im Klartext gespeicherte Root-Passwort auszulesen. Über die Existenz der Sicherheitsprobleme wurde Hersteller D-Link bereits im Dezember 2012 aufgeklärt. Das Unternehmen bestätigte damals, es handle sich lediglich um ein Browserproblem, weshalb keine Firmware mit Bugfixes geplant sei.
Die Tatsache, dass das Landeskriminalamt Niedersachsen die Schwachstellen derzeit unter die Lupe nimmt, scheint D-Link nun jedoch zum Einlenken bewogen zu haben. Wie das Unternehmen dem IT-Magazin Heise mitteilte, wolle man noch heute eine neue Firmware veröffentlichen, die die Sicherheitslücken schließen soll.