Abo
  • Services:
Anzeige
Vanderbekens Analyse zur Reaktivierung der Backdoor
Vanderbekens Analyse zur Reaktivierung der Backdoor (Bild: Eloe Vanderbeken/Screenshot: Golem.de)

DSL-Router: Netgear hat Backdoor offenbar nur versteckt

Mehrere Monate hat Netgear gebraucht, um einen offenen Port in einigen WLAN-Routern zu schließen. Doch anstatt die Lücke zu schließen, wurde sie möglicherweise nur gut versteckt.

Anzeige

Trotz eines Sicherheitspatches von Anfang April verfügen die Netgear-Router vom Typ DGN1000 offenbar weiterhin über einen Zugang über den Port TCP/32764. Der französische Reverse Engineer Eloi Vanderbeken untersuchte an den Ostertagen den Patch und fand heraus, dass Netgear eine neue Möglichkeit vorgesehen hat, über den Port einen Zugriff auf den Router zu erhalten. "Man kann die Backdoor wieder reaktivieren", schreibt Vanderbeken in einer Präsentation für die Sicherheitsfirma Synacktiv.com. Das sei aus dem lokalen Netz heraus möglich, aber auch durch einen Provider über das Internet. Durch die Art des Angriffs ist es nötig, nicht weiter als eine Router-Zwischenstation (Hop) von dem anfälligen Gerät entfernt zu sein, über größere Distanzen lässt sich die Lücke nicht nutzen.

Den Untersuchungen Vanderbekens zufolge hat Netgear den Zugang damit nicht geschlossen, sondern nur versteckt. Und zwar "mit voller Absicht", wie Vanderbeken schreibt. Mit einem speziellen Datenpaket, das aus dem MD5-Hashwert der Modellnummer DGN1000 gebildet wird, lässt sich der Port demnach wieder öffnen. Der Zugang nutze dabei den Ethertype 0x8888 und den Pakettyp 0x021, ein Verfahren, das Netgear offenbar von einem früheren Tool des Chipherstellers Sercomm übernommen habe. Um die Sicherheitslücke an seinem eigenen DGN1000-Router zu testen, solle man den Erläuterungen seiner Untersuchung folgen. Bei anderen Modellen müsse zunächst das Dateisystem des Routers untersucht werden, wie es Vanderbeken beschrieben hat.

Wurde mit dem Verfahren die Backdoor reaktiviert, erlaubt sie wie gehabt, per Script Befehle auf dem Router auszuführen und so unter anderem an die Konfigurationsdaten und Passwörter zu gelangen. Der Produzent von Routerchips, Sercomm, soll für die Lücke verantwortlich sein, die neben Netgear auch Linksys, Cisco und Diamond betraf. Cisco stellte Ende Januar 2014 einen Patch für zwei der drei betroffenen Modelle bereit. Ein deutscher Sprecher von Netgear sagte am Dienstag auf Anfrage von Golem.de, dass es von Netgear noch keine Bestätigung für den Zugang gebe oder eine Stellungnahme dazu vorliege.


eye home zur Startseite
JensTautenhahn 25. Apr 2014

Im Moment schafft das ALIX2D13 mehr (bis zu 85MBit NAT Durchsatz), als mein VDSL...

lesard 23. Apr 2014

... dafür hat man bei HUAWEI dann den chinesischen Geheimdienst im Rücken. :P

Endwickler 23. Apr 2014

Non est enim in rebus vitium, sed in ipso animo. Was genau bringen solche Sprüche?

EvilSheep 23. Apr 2014

Wo itnbei dieser Verschwörung noch Theorie? Über die Phase in der sowas nur wilde...

EvilSheep 22. Apr 2014

Aber was für ein gerät stellte du dahin? Und warum dann uberhaupt weiter netgearschrott...



Anzeige

Stellenmarkt
  1. über Robert Half Technology, Berlin
  2. Bausparkasse Schwäbisch Hall AG, Schwäbisch Hall
  3. hmmh multimediahaus AG, Berlin
  4. T-Systems International GmbH, verschiedene Standorte


Anzeige
Hardware-Angebote
  1. 99,00€
  2. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. NBase-T alias IEEE 802.3bz

    Schnelle und doch sparsame Kabelverbindungen

  2. Autonomes Fahren

    Komatsu baut Schwerlaster ohne Führerstand

  3. 500-Millionen-Hack

    Yahoo sparte an der Sicherheit

  4. Advertising Standards Authority

    No Man's Sky wird auf irreführende Werbung untersucht

  5. Container

    Canonical veröffentlicht Kubernetes-Distribution

  6. Amazon

    Fire TV erhält neuartigen Startbildschirm

  7. Musikstreaming

    Soundcloud könnte bald Spotify gehören

  8. Online- oder Handyfahrschein

    Ausweiszwang bei der Bahn

  9. Elektroauto

    Volkswagen ID soll bis zu 600 km elektrisch fahren

  10. Sicherheitsrisiko Baustellenampeln

    Grüne Welle auf Knopfdruck



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Canon vs. Nikon: Superzoomer für unter 250 Euro
Canon vs. Nikon
Superzoomer für unter 250 Euro
  1. Snap Spectacles Snapchat stellt Sonnenbrille mit Kamera vor
  2. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  3. Bildbearbeitungs-App Prisma offiziell für Android erhältlich

DDoS: Das Internet of Things gefährdet das freie Netz
DDoS
Das Internet of Things gefährdet das freie Netz
  1. Hilfe von Google Brian Krebs' Blog ist nach DDoS-Angriff wieder erreichbar
  2. Picobrew Pico angesehen Ein Bierchen in Ehren ...
  3. Peak Smarte Lampe soll Nutzer zum Erfolg quatschen

MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  2. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus
  3. Kaspersky Neue Malware installiert Hintertüren auf Macs

  1. Re: Wurde der Trailer bei Steam geändert?

    germanTHXX | 11:58

  2. Re: Ab 30'700 oder ab 40'000¤? (Ergänzung)

    sebbje | 11:58

  3. Re: Tja, das war's dann mit den meisten Bahnfahrten

    Eheran | 11:57

  4. Re: Ich hatte meinen Spaß

    germanTHXX | 11:56

  5. Golem nervt!

    Anonymouse | 11:55


  1. 11:59

  2. 11:35

  3. 11:20

  4. 11:03

  5. 10:46

  6. 09:17

  7. 07:45

  8. 07:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel