Netgear-Router trivial angreifbar, noch kein Patch in Sicht

December 13, 2016 - 5:40 am in Security

Im Web-Interface einiger Netgear-Router klafft offenbar eine kritische Sicherheitslücke, die Angreifer leicht ausnutzen können, um Code mit Root-Rechten auszuführen. Schutz verspricht bisher nur ein unorthodoxer Weg: Man soll die Lücke selbst ausnutzen.

In Netgear-Routern klafft eine kritische Sicherheitslücke, durch die Angreifer die Kontrolle über die Geräte übernehmen können. Die Lücke ist trivial ausnutzbar, Betroffene sollten daher schnell handeln.

Die Schwachstelle klafft im Webserver der Router, welcher die Web-Konfigurationsoberfläche bereitstellt. Der folgende Request schleust einen Befehl ein, den der Router anschließend mit Root-Rechten ausführt:

http://<Router-IP>/cgi-bin/;BEFEHL

Angriff aus der Ferne

Mehr Aufwand muss ein Angreifer nicht betreiben. Das Webinterface ist zwar standardmäßig nur aus dem lokalen Netz erreichbar, das entschärft die Situation in diesem Fall jedoch nicht: Der Angreifer kann den Browser seines Nutzers anweisen, eine solchen Request über das lokale Netz an den Router zu schicken. Dazu platziert der Angreifer einen Verweis auf einer beliebige Webseite (zum Beispiel als Quelle eines IMG-Elements oder durch ein verstecktes iFrame). Ruft der Router-Besitzer die Webseite auf, wird der Request ausgelöst und der verwundbare Router führt die vom Angreifer vorgegeben Befehle als root aus.

Da die Lücke trivial ausnutzbar ist, wird es vermutlich nicht lange dauern, bis sie von Online-Kriminellen ausgenutzt wird. Router sind attraktive Ziele für die Ganoven, da die Geräte eine wichtige Position im Netz des Opfers haben. Durch eine Router-Manipulation kann ein Angreifer zum Beispiel Datenverkehr abfangen und manipulieren oder Geräte im lokalen Netz angreifen. Zudem wird diese Gerätekategorie immer häufiger Teil von Botnets. Ob der eigene Router tatsächlich anfällig ist, erfährt man laut Bas’ Blog mit dem folgenden harmlosen Befehl:

http://<Router-IP>/cgi-bin/;uname$IFS-a

Liefer der Router einen Wert zurück, ist er verwundbar. Zeigt er nur einen Fehler oder eine leere Seite an, dann wurde der eingeschleuste Befehl nicht ausgeführt.

Nach derzeitigem Kenntnisstand sind die folgenden Netgear-Modelle betroffen:

  • R7000
  • R6400
  • R8000

Sicherheitslücke selbst ausnutzen – bevor es andere tun

Wer einen der betroffenen Router einsetzt, hat ein Problem: Netgear hat bislang keine Firmware-Updates herausgegeben, um die Geräte abzusichern. Im Support-Bereich des Unternehmens erfährt man lediglich, dass Netgear über das Sicherheitsproblem informiert ist und den Fall untersucht. Bas’ Blog empfiehlt unterdessen einen unorthodoxen Weg, die Netgear-Router zu schützen. Betroffene sollen die Lücke selbst ausnutzen, um den verwundbaren Webserver abzuschießen. Das erledigt man mit dem folgenden Befehl:

http://<Router-IP>/cgi-bin/;killall$IFS’httpd’

Die Kehrseite der Medaille ist, dass man den Router danach nicht mehr per Web-Oberfläche konfigurieren kann. Allerdings startet der Server beim nächsten Router-Start wieder mit. Es genügt, den Router kurz vom Strom zu trennen, um wieder Zugriff auf die Web-Oberfläche zu erlangen. heise Security hat bei Netgear angefragt, wie sich Nutzer betroffener Router am besten schützen sollen. Das Unternehmen erklärte, dass es derzeit keine weiteren Informationen bekanntgeben kann. Es verweist auf seinen Beitrag im Support-Bereich, der akualisiert werden soll, sobald es mehr zu sagen gibt.
(rei)

Read more on: Source

Großstörung bei der Telekom: "Schlecht programmierte Schadsoftware" verhinderte schlimmere Folgen

December 13, 2016 - 12:15 am in Internet

Auch die Deutsche Telekom spricht mittlerweile davon, dass die Störung durch nicht funktionierende Router an einem Hackerangriff lag. Am Dienstag sollen…

iX Live-Webinar: IoT-Protokolle – schlank und sicher

December 12, 2016 - 6:12 pm in Internet

Das etwa neunzigminütige Webinar richtet sich an Entwickler und Administratoren, die Anwendungen im Internet der Dinge schreiben und einrichten. Es zeigt…

Erpressungstrojaner Popcorn Time: Infiziere zwei andere und du bekommst deine Daten

December 12, 2016 - 5:30 pm in Security

Die neueste Masche bei Erpressungstrojanern scheinen Referrer zu sein. Beim Trojaner Popcorn Time kann man sich angeblich frei kaufen, in dem man andere Nutzer infiziert. Sicherheitsforscher haben einen neuen Erpressungstrojaner namens Popcorn Time entdeckt,…

Magenta Security Kongress: Software-Update gegen Telekom-Großstörung im Eiltempo, kein Router gekapert

December 12, 2016 - 12:10 pm in Internet

Die Telekom ist bei dem Hackerangriff auf Telekom-DSL-Router mit einem blauen Auge davon gekommen, erklärt das Unternehmen auf seinem Security-Kongress in Frankfurt. Bis alle Router ein Update bekommen, kann es zwei Tage dauern. Nach dem Großangriff auf…

Linux 4.9 freigegeben: Zackigeres Internet und erweitertes XFS

December 12, 2016 - 11:45 am in OSS

Das XFS-Dateisystem kann jetzt doppelt gespeicherte Daten zusammenführen und große Dateien in Sekundenbruchteilen kopieren. Linux 4.9 verbessert zudem die Sicherheit. Neue Möglichkeiten zur Performance-Analyse erleichtern System- und Programmoptimierung.…

Bruce Schneier zur Netz-Sicherheit: "Die Ära von Spaß und Spielen ist vorbei"

December 12, 2016 - 6:08 am in Internet

Der renommierte Sicherheits-Experte warnte auf dem Security-Kongress der Telekom vor einer grenzenlosen Vernetzung. Staatliche Regulierung sei unausweichlich. Mit einer düsteren Bilanz der Sicherheit im Internet of Things hat der Autor und Sicherheits-Experte…

Windows 10 ARM64: Erste 64-Bit-Programme

December 12, 2016 - 5:35 am in Software-Entwicklung

Ein Programmierer hat die Open-Source-Tools 7-Zip und PuTTY für das kommende 64-Bit-ARM-Windows compiliert; außerdem gibt es erste Hinweise zu .NET auf ARM64. Ein vermutlich aus Frankreich stammender Programmierer hat ARM64-Versionen der Open-Source-Tools…

Zero-Day-Exploit bedroht Firefox und Tor-Nutzer

December 12, 2016 - 12:05 am in Internet

Aktuell attackieren Unbekannte verschiedene Firefox-Versionen und könnten im schlimmsten Fall Schadcode auf Windows-Systemen ausführen. Ein Patch ist angekündigt. Nutzer des anonymisierenden Tor-Browsers, der auf Firefox basiert, sind auf eine Sicherheitslücke…

BOB-Konferenz mit gewohntem Fokus auf Themen jenseits des Mainstreams

December 11, 2016 - 11:33 pm in Software-Entwicklung

Auch in ihrer dritten Auflage kommen auf der BOB-Konferenz wieder Themen zur Sprache, die man so auf anderen Entwicklerveranstaltungen selten sieht. Vor allem die funktionale Programmierung spielt traditionell eine besondere Rolle. Das Programm der dritten…