Netgear ruft wegen peinlicher Schwachstelle zu Firmware-Updates auf

Das Problem wurde von Martin Rakhmanov, einem Sicherheitsforscher von Trustwave, entdeckt. Und dass es nicht schon früher jemandem aufgefallen war, der sich mit der Sicherheit von Home-Routern beschäftigt, dürfte wohl vor allem daran gelegen haben, dass sich niemand vorstellen konnte, dass die Geräte mit einer so trivialen Schwachstelle ausgeliefert werden. Bei den fraglichen Geräten kann man die Passwort-Abfrage beim Zugriff auf die Administrations-Oberfläche ziemlich einfach umgehen. Man muss lediglich "&genie=1" an die URL anhängen, mit dem die Konfigurationsumgebung in einem Browser aufgerufen wird. Wie in verschiedenen anderen Fällen dieser Art dürfte das Problem daraus resultieren, dass die Entwickler die Option eigentlich nur vorübergehend verwenden wollten, um bei Tests nicht jedesmal das Passwort eingeben zu müssen. Dann aber wurde vergessen, die Funktion vor der Veröffentlichung der fertigen Firmware wieder auszubauen.

Update ist einfach

Das Problem dürfte schon ziemlich lang im Betriebssystem der Router schlummern. Denn es ist eine ganze Reihe von Modellen betroffen, deren Firmwares letztlich auf den gleichen Entwicklungsstamm zurückgehen dürften. Ein Problem stellt das letztlich vor allem dann dar, wenn der Router auch Admin-Zugriffe aus dem Internet erlaubt oder sich der Angreifer im eigenen Netzwerk befindet.

Um das Problem aus der Welt zu schaffen ist es lediglich nötig, die aktuellste Firmware einzuspielen - was bei Routern viele Nutzer aber eigentlich nie tun, solange die Systeme funktionieren. Die Installation selbst ist recht einfach: Es ist nur nötig, sich in die Konfigurations-Umgebung des eigenen Routers einzuloggen, indem man im Browser http://www.routerlogin.net eingibt. Anschließend findet man unter "Administration > Administration" den Punkt Firmware-Update, unter dem man die Installation anstoßen kann.

Betroffen sind laut Netgear die Besitzer der folgenen Modelle: