Netgear-Router: Schon wieder eklatante Sicherheitsmängel

Internet, Sperre, Schere
Sie lernen es einfach nicht. Erneut schlagen Sicherheitsforscher wegen eklatanter Mängel beim Thema Security Alarm. Diesmal geht es um Router des Herstellers Netgear. Nachdem das Unternehmen nun sechs Monate für die Bereitstellung einer aktualisierten Firmware brauchte, gibt es weitergehende Informationen.
Wer die Netgear-Router D6000 und D3600 im Einsatz hat, sollte unbedingt prüfen, auf welchem Stand sich die Firmware befindet. Bei vielen Nutzern dürfte diese noch bei den Versionsnummern 1.0.0.47 oder 1.0.0.49 stehen. Ein Upgrade auf die Fassung 1.0.0.59 wäre hier dringend geraten, um Angreifern das Leben nicht allzu leicht zu machen.

Dass die Entwicklung der neueren Fassung recht lange dauerte, dürfte damit zusammenhängen, dass erst einmal ein ordentliches Verschlüsselungs-System implementiert werden musste. Bisher konnten die Geräte den Datenverkehr in den von ihnen angesteuerten Netzen zwar kodieren - doch der dafür eingesetzte Schlüssel war fest in die Firmware geschrieben. Wer diesen aus der Software isolierte konnte damit faktisch auch bei allen anderen Routern der jeweiligen Baureihen den Datenverkehr mitlesen.

"Password Recovery" falsch verstanden

Der Key ermöglichte aber nicht nur Schnüffeleien in den Datenverbindungen. Mit Kenntnis des Schlüssels konnte ein Angreifer sich auch einen Administrator-Zugang zu den Systemen verschaffen und diese beliebig nach den eigenen Vorstellungen einsetzen.

Wenn es möglich war, auf das Web-Interface des Routers zuzugreifen, benötigte man allerdings nicht einmal zwingend den RSA-Key aus der Firmware. Es genügte auch das Aufrufen der Password Recovery-Seite, die unter /cgi-bin/passrec.asp zu finden war. Im Browser musste man sich nur den Quelltext der Seite einblenden lassen - das aktuelle Administrator-Passwort stand hier im Klartext drin. Auch wenn das natürlich grundsätzlich die Funktion dieser Seite ganz gut erfüllte, dürfte sich der Betreiber des Routers die Sache dann doch etwas anders vorstellen. Internet, Netzwerk, Kabel, Sperre, Ethernet Internet, Netzwerk, Kabel, Sperre, Ethernet
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Epson 3D 3LCD-Projektor (Full HD 1920 x 1080 Pixel, 2.200 Lumen, 35.000:1 Kontrast)
Epson 3D 3LCD-Projektor (Full HD 1920 x 1080 Pixel, 2.200 Lumen, 35.000:1 Kontrast)
Original Amazon-Preis
729,00
Im Preisvergleich ab
716,99
Blitzangebot-Preis
646,00
Ersparnis zu Amazon 11% oder 83

Video-Empfehlungen

Tipp einsenden