Zero-Day-Schwachstelle: 79 Netgear-Router seit Monaten ohne Patch

Nadine Dressler, 19.06.2020 19:03 Uhr 6 Kommentare
Der Netzwerk-Spezialist Netgear kommt derzeit nicht aus den Negativ-Schlagzeilen heraus. Wieder hat ein Sicherheitsforscher eine Sicherheits­lücke in den Routern des Herstellers gefunden und wieder gibt es kaum Informationen für Betroffene. Das berichtet das Online-Magazin ZDNet und beruft sich dabei auf einen Artikel, den der Sicherheitsforscher Adam Nichols von dem Cyber-Security-Unternehmen Grimm veröffentlicht hat. Es handelt sich dabei um eine Zero-Day-Schwachstelle, die soweit bekannt ist in insgesamt 79 Netgear-Router-Modellen besteht. Die bisher ungepatchte Schwachstelle erlaubt es einem Angreifer aus der Ferne die volle Kontrolle über anfällige Geräte zu übernehmen. Ein Besuch einer entsprechend manipulierten Webseite kann dann schon genügen, um die Geräte zu kapern. Eine Authentifizierung wird dabei übergangen.

Problem lange bekannt

Interessanterweise ist Nichols nicht der einzige, der auf das Problem aufmerksam wurde. Auch die vietnamesischen VNPT ISC, eine Zero-Day-Initiative, hat die Schwachstelle gemeldet. Netgear weiß von der Sicherheitslücke im HTTPD-Dienst, über den die Nutzeroberfläche des Routers läuft, nun schon seit über fünf Monaten. Da das Unternehmen bisher nicht mit einem Sicherheitsupdate nachgekommen ist, wurden nun alle Informationen von den beiden Entdeckern offengelegt. Nichols hat dazu einen PoC-Exploit und Skripte zum Auffinden anfälliger Router veröffentlicht. Auch eine Liste der betroffenen Modelle und der Firmware ist dabei.

Viele Modelle betroffen

Laut Nichols ist das Problem im Grunde erst auf­gekommen, da Netgear keine so genannten Stack-Cookies verwendet. Die könnten die Schwach­stelle mildern: "In der meisten moder­nen Softwares wäre diese Schwachstelle gar nicht ausnutzbar. Moderne Software enthält typischerweise Stack-Cookies, die eine Aus­nutzung verhindern würden. Der R7000 ver­wendet jedoch keine Stack-Cookies. Tatsächlich verwenden von allen Netgear-Produkten, die eine gemeinsame Codebasis haben, nur die D8500-Firmware 1.0.3.29 und die R6300v2-Versionen 1.0.4.12-1.0.4.20 Stack-Cookies", schreibt Nichols.

Sobald ein Angreifer die Kontrolle über einen anfälligen Router erlangt hat, kann er ihn dazu benutzen, Angriffe auf die internen Computer im LAN zu starten. Der Zugang könnte auch dazu verwendet werden, die Portweiterleitung auf dem Router so zu konfigurieren, dass Geräte aus dem Netzwerk im Internet ungeschützt sind.

Im Januar hatte die ZDI die Schwachstelle an Netgear gemeldet. Netgear hat bisher noch keine Informationen dazu veröffentlicht, wann die Schwachstellen behoben sein werden. Das Unternehmen soll sich aber mehr Zeit bei der ZDI erbeten haben.
6 Kommentare lesen & antworten
Folge WinFuture auf Google News
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies