/ Security / Netgear-Lücke dramatischer als angenommen, erste Sicherheits-Updates

Netgear-Lücke dramatischer als angenommen, erste Sicherheits-Updates

Moritz Rosenfeld on December 13, 2016 - 5:48 pm in Security

Die hochkritische Lücke im Web-Interface betrifft deutlich mehr Netgear-Router als bislang angenommen. Für eine Handvoll Geräte hat der Hersteller inzwischen eine Beta-Firmware herausgegeben, die das Problem löst.

Netgear hat sein Router-Sortiment überprüft und festgestellt, dass viel mehr Modelle für die kritische Sicherheitslücke im Web-Interface anfällig sind als zunächst angenommen. Für drei Modelle bietet das Unternehmen inzwischen eine Beta-Firmware an, welche die Schwachstelle beseitigt – Besitzer der fünf anderen Router-Modelle müssen sich derzeit noch mit einem Workaround behelfen.

Laut Netgear gelten derzeit die folgenden Modelle als verwundbar:

  • R6250
  • R6400
  • R6700
  • R7000
  • R7100LG
  • R7300
  • R7900
  • R8000

Eine abgesicherte Firmware gibt es derzeit nur für die Modelle R6400, R7000 und R8000. Netgear bezeichnet die drei Firmware-Images als Beta, es ist also möglich, dass sie noch nicht ganz stabil laufen. Bei einem kurzen Test von heise Security ließ sich die Schwachstelle nach dem Update tatsächlich nicht mehr auf dem bekannten Weg ausnutzen.

Router prüfen und absichern

Um herauszufinden, ob der eigene Router anfällig ist, verbinden Sie sich mit dem Netzwerk des Routers und rufen die folgende Adresse auf:

http://www.routerlogin.net/cgi-bin/;echo$IFS’Verwundbar!’

Wenn Sie diesen Hinweis sehen, ist Ihr Router gefährdet..
Wenn Sie diesen Hinweis sehen, ist Ihr Router gefährdet. Vergrößern
Erscheint im Browser-Fenster “Verwundbar!” ist Ihr Router angreifbar. Gibt es für Ihr Router-Modell bereits eine abgesicherte Firmware, sollten Sie diese umgehend einspielen. Andernfalls sollten Sie das Gerät besser bis zum Erscheinen eines Sicherheits-Updates aus dem Verkehr ziehen. Alternativ können Sie den folgenden Workaround nutzen. Rufen Sie aus dem Netz des Routers die folgende Adresse auf, um seinen verwundbaren Webserver zu beenden: http://www.routerlogin.net/cgi-bin/;killall$IFS’httpd’

Das Gerät funktioniert weiter, allerdings können Sie nicht mehr auf die Web-Oberfläche zugreifen. Diese ist erst nach einem Neustart des Routers wieder erreichbar. Trennen Sie das Gerät hierzu kurz vom Strom. Diese Lösung ist nicht hundertprozentig zuverlässig, da ein Neustart des Routers auch durch einen Stromausfall verursacht werden kann. So ist der verwundbare Prozess ohne Zutun des Nutzers wieder erreichbar.

Lücke leicht ausnutzbar

Ein Test von heise Security ergab, dass es ausreicht, aus dem Netzwerk des Routers eine verseuchte Webseite aufzurufen, um Opfer eines Hackerangriffs zu werden. Der Angreifer muss lediglich einen Verweis auf die Router-Oberfläche in eine beliebige Webseite einbauen. Dieser Verweis kann beliebige Shell-Befehle enthalten, die der Router beim Aufruf der Seite automatisch als root ausführt. (rei)

Read more on: Source

Comments are disabled