Der populäre WLAN-Router D-Link DIR-878, lange als leistungsfähiges Dualband-Gerät für Zuhause und kleine Büros vermarktet, steht aufgrund mehrerer neu entdeckter Schwachstellen massiv unter Druck. Besonders problematisch: Das Modell ist seit 2021 offiziell End-of-Life, sodass keine Sicherheitsupdates oder neue Firmware-Versionen mehr erscheinen. Für Betreiber bedeutet das faktisch, dass ein sicherer Weiterbetrieb nicht mehr möglich ist und ein Austausch des Geräts ernsthaft geprüft werden sollte.
Neue Schwachstellen im D-Link DIR-878: Remote Code Execution und USB-Angriff
Ein unabhängiger Sicherheitsforscher unter dem Pseudonym Yangyifan hat technische Details und Proof-of-Concept-Exploits für insgesamt vier Schwachstellen in der Firmware des DIR-878 veröffentlicht. Drei dieser Lücken ermöglichen Remote Code bzw. Command Execution (RCE). Angreifer können also aus der Ferne beliebige Befehle auf dem Router ausführen – ohne physischen Zugriff, lediglich über das Netzwerk.
Die vierte Schwachstelle, als CVE-2025-60674 registriert, betrifft ein Stack Overflow bei der Verarbeitung von USB-Speichermedien. Um sie auszunutzen, muss ein manipulierter Datenträger direkt an den USB-Port des Routers angeschlossen werden. Dieses Szenario erfordert zwar lokalen Zugriff, kann aber bei Erfolg ebenfalls zur vollständigen Übernahme des Geräts führen, etwa in Umgebungen mit vielen Personen oder gemeinsam genutzten Räumen.
Warum Remote Code Execution auf Routern besonders gefährlich ist
Router mit RCE-Schwachstellen zählen laut Behörden wie CISA und nationalen Computer-Notfallteams seit Jahren zu den attraktivsten Angriffsflächen. Wird ein DIR-878 erfolgreich kompromittiert, kann ein Angreifer unter anderem:
– den Datenverkehr umleiten und Anwender auf gefälschte Websites schicken (Phishing, Man-in-the-Middle-Angriffe);
– DNS-Antworten manipulieren, sodass Opfer trotz korrekter URL-Eingabe auf schädliche Domains landen;
– unverschlüsselte Verbindungen mitschneiden und sensible Informationen wie Zugangsdaten oder Zahlungsdaten abgreifen;
– das Gerät als Sprungbrett nutzen, um weitere Systeme im Heim- oder Firmennetzwerk anzugreifen – etwa PCs, NAS-Systeme oder IoT-Komponenten.
Besonders heimtückisch ist, dass ein kompromittierter Router häufig unauffällig weiterfunktioniert. Internetzugang und WLAN bleiben intakt, während das Gerät im Hintergrund bereits von Kriminellen oder Botnet-Betreibern kontrolliert wird. In Praxisfällen fällt ein Befall oft erst durch ungewöhnlichen Datenverbrauch, Leistungseinbrüche oder Hinweise des Providers auf.
End-of-Life seit 2021: Warum es keine Firmware-Patches mehr geben wird
Der D-Link DIR-878 kam 2017 auf den Markt und wurde 2021 offiziell in den End-of-Life-Status überführt. Ab diesem Zeitpunkt stellt der Hersteller üblicherweise sowohl Funktions- als auch Sicherheitsupdates ein. D-Link hat nach Bekanntwerden der Schwachstellen bestätigt, dass für dieses Modell keine Patches mehr geplant sind.
Gleichzeitig befinden sich viele Geräte weiterhin im Einsatz – teils noch als Neuware aus Restbeständen, teils auf dem Gebrauchtmarkt. Aus Sicht der IT-Sicherheit entsteht dadurch eine klassische Lifecycle-Risikosituation: Mit jeder neu veröffentlichten Schwachstelle steigt das Angriffsrisiko, während es keine offiziell unterstützte Möglichkeit mehr gibt, die Geräte abzusichern. Sicherheitsbehörden wie das deutsche BSI weisen seit Jahren darauf hin, dass veraltete Router zu den häufigsten Einfallstoren in Privat- und Kleinstunternehmensnetze gehören.
Warum der D-Link DIR-878 ein lohnendes Ziel für Botnetze ist
CISA bewertet die von Yangyifan veröffentlichten Lücken insgesamt als Sicherheitsrisiken mittlerer Kritikalität. In der Praxis erhöht sich die Gefährdung jedoch deutlich, sobald öffentliche Exploits verfügbar sind. Angreifer können das Internet automatisiert nach verwundbaren Geräten scannen und diese in großem Stil kompromittieren.
Moderne IoT-Botnetze – etwa Varianten der bekannten Mirai-Familie – greifen routinemäßig gleich Dutzende oder sogar Hunderte dokumentierte Schwachstellen in Routern und anderen vernetzten Geräten an. In Analysen großer Security-Anbieter werden regelmäßig Kampagnen beobachtet, in denen über 50 unterschiedliche Router- und IoT-Bugs parallel ausgenutzt werden. Kompromittierte DIR-878-Router lassen sich dann für DDoS-Attacken, anonymes Proxying von Kriminalverkehr, Credential-Stuffing-Kampagnen oder auch zum heimlichen Mining von Kryptowährungen missbrauchen.
Empfehlungen für Nutzer: So reagieren Betreiber eines D-Link DIR-878 jetzt richtig
Routertausch als nachhaltigste Sicherheitsmaßnahme
Da offiziell kein Firmware-Update mehr bereitgestellt wird, ist der sicherheitstechnisch sinnvolle Weg die zeitnahe Ablösung des DIR-878 durch ein aktuelles, unterstütztes Modell. Bei der Auswahl eines neuen Routers sollten insbesondere folgende Kriterien geprüft werden:
– nachweisbar regelmäßige Firmware-Updates und öffentlich einsehbare Sicherheitsinformationen des Herstellers;
– Unterstützung von automatischen Updates (Auto-Update) oder zumindest einfacher Update-Prüfung;
– Möglichkeit, Remote-Management über das Internet zu deaktivieren oder strikt auf VPN bzw. bestimmte IP-Adressen zu beschränken;
– Unterstützung moderner Sicherheitsfunktionen wie WPA3, Gastnetzwerke und segmentierte VLANs, falls relevant.
Übergangslösungen, wenn ein sofortiger Austausch nicht möglich ist
Wenn ein kurzfristiger Austausch organisatorisch oder finanziell nicht umsetzbar ist, sollten mindestens folgende Sofortmaßnahmen umgesetzt werden, um das Risiko einzugrenzen:
– Deaktivierung des Fernzugriffs auf das Web-Interface des Routers von außen;
– Beschränkung der Administrationsoberfläche auf vertrauenswürdige interne Geräte;
– konsequente Änderung von Standard-Benutzernamen und -Passwörtern auf lange, individuelle und zufällig erzeugte Kennwörter;
– wo möglich, Platzierung des DIR-878 hinter einem zusätzlichen, moderneren Router oder einer Firewall, idealerweise in einem separaten Netzwerksegment.
Diese Maßnahmen können die unmittelbare Angriffsfläche reduzieren, ersetzen aber kein Sicherheitsupdate. Angesichts öffentlich verfügbarer Exploits sollte der Weiterbetrieb eines ungeschützten DIR-878 stets als Übergangslösung betrachtet werden, nicht als Dauerzustand.
Die aktuelle Lage rund um den D-Link DIR-878 führt vor Augen, dass auch scheinbar zuverlässig laufende Router einen klaren „Sicherheitslebenszyklus“ besitzen. Spätestens mit dem Ende des Firmware-Supports steigt die Wahrscheinlichkeit, dass das Gerät zur verwundbaren Eintrittsstelle in das Heim- oder Unternehmensnetz wird. Es ist daher ratsam, Netzwerk-Hardware regelmäßig zu inventarisieren, den Support-Status zu prüfen und veraltete Modelle proaktiv abzulösen. Betreiber eines DIR-878 sollten den Umstieg auf ein aktuelles, aktiv gepflegtes Gerät jetzt einplanen und die Sicherheit ihres Netzwerks – einschließlich starker Passwörter, Verschlüsselung und Segmentierung – ganzheitlich überprüfen.
