Neue Firmware Updates beheben Sicherheitsschwachstelle im HNAP-Protokoll
Die für D-Link Router seitens SourceSec gemeldeten Sicherheitsschwachstellen im HNAP-Protokoll (Home Network Administration Protocol) beschreiben eine Sicherheitslücke in drei Router-Modellen für den US-amerikanischen Markt: Typ DI-524 (HW-Revision C1, Firmware-Revision 3.23), DIR-628 (HW-Revision B2, Firmware-Revisionen1.20NA und 1.22NA) und DIR-655 (HW-Revision A1, Firmware-Revision 1.30EA). Die aufgeführten Router-Modelle wurden in Deutschland, Österreich und der Schweiz zu keinem Zeitpunkt vertrieben.
Die D-Link Entwicklungsabteilung hat zwischenzeitlich proaktiv geprüft, inwieweit die gemeldete Sicherheitslücke auch in Deutschland, Österreich und der Schweiz erhältliche Router betrifft. Folgende Modelle besitzen keinerlei Implementierung von HNAP bzw. sind nach unseren Tests nicht über das Protokoll ansprechbar:
DI-304, DI-524, DI-604, DI-624, DI-724GU, DI-804HV, DIR-100, DIR-300, DIR-301, DIR-320, DIR-600, DIR-615, DIR-685, DIR-825, DSL-2543B, DSL-2641B, DSL-2740B, DSL-2741B, DVA-G3342SD, DVA-G3342SB.
Gleiches gilt für nicht aufgeführte, ältere Router-Modelle sowie weitere Produktkategorien wie Switches, NAS oder Printserver.
Bei drei aktuell im Handel erhältlichen Router-Modellen wurde für einzelne Hardware-Revisionen eine Sicherheitslücke im HNAP-Protokoll festgestellt. Parallel zu den Tests konnte D-Link hier sofort einen Lösungsansatz erarbeiten. So stehen für die Modelle DIR-635 (HW-Revision B), DIR-655 (HW-Revision A) und DIR-855 (HW-Revision A2) sowie für in der Vergangenheit ausgelieferte Modelle vom Typ DIR-615 (HW-Revision B1-B3) ab sofort Firmware Updates unter ftp.dlink.de zur Verfügung.
Die Firmware Updates sind ebenfalls auf den D-Link Webseiten
www.dlink.de; www.dlink.at und
www.dlink.ch als Download im Bereich 'Service & Support' bei den betroffenen Modellen zu finden.
Ferner bietet D-Link unter den angegebenen Links für die bereits abgekündigten Router DI-634M (HW-Revision B1) und DIR-635 (HW-Revision A) innerhalb der nächsten Tage neue Firmware Lösungen zum Download an.
Wir bedauern die aufgekommene Problematik sehr und möchten betonen, dass es sich bei dieser Sicherheitslücke nicht um einen absichtlich versteckten Administratorzugang handelt. D-Link ist kontinuierlich bestrebt, Netzwerke so sicher wie möglich zu machen und legt bei der Produktentwicklung höchstes Augenmerk auf die Erfüllung aktueller Sicherheitsanforderungen und Qualitätsstandards.
