Abo
  • Services:
Anzeige
Netgears Genie enthält eine Schwachstelle, über die WLAN-Schlüssel und Passwörter ausgelesen werden können.
Netgears Genie enthält eine Schwachstelle, über die WLAN-Schlüssel und Passwörter ausgelesen werden können. (Bild: Netgear)

Netgear: WLAN-Router aus der Ferne angreifbar

Netgears Genie enthält eine Schwachstelle, über die WLAN-Schlüssel und Passwörter ausgelesen werden können.
Netgears Genie enthält eine Schwachstelle, über die WLAN-Schlüssel und Passwörter ausgelesen werden können. (Bild: Netgear)

Über eine Schwachstelle in zahlreichen WLAN-Routern der Firma Netgear lassen sich Passwörter und Schlüssel auslesen.

Anzeige

Ein Fehler in der Weboberfläche der Konfigurationssoftware Netgear Genie lässt sich ausnutzen, um Passwörter und WLAN-Schlüssel auszulesen. Netgear Genie ist auf zahlreichen Routern der Serie WNDR installiert und kann auch zur Wartung aus der Ferne genutzt werden. Peter Adkins, der Entdecker der Schwachstelle, hatte Netgear bereits Mitte Januar 2015 informiert.

Adkins hat den Fehler in Netgears WLAN-Routern WNDR3700v4, WNR2200 und WNR2500 nachweisen können. Da die Software aber auch auf weiteren Modellen läuft, könnten auch die Router WNDR3800, WNDRMAC, WPN824N und WNDR4700 betroffen sein. Besitzern der betroffenen Geräte rät Adkins, die Fernwartungsfunktion abzuschalten und im internen Netzwerk den Zugriff nur für vertrauenswürdige Geräte zuzulassen.

WLAN-Wartung aus der Ferne

Mit Netgear Genie lassen sich WLAN-Netzwerke ergänzend zu der Konfigurationsoberfläche der einzelnen Geräte verwalten, etwa über Smartphones. Genie greift dazu über eine SOAP-Schnittstelle auf die Zugangsdaten zu, die auf dem Router gespeichert sind, darunter auch das Administratorpasswort, SSIDs oder die Liste angeschlossener Geräte.

Normalerweise würden SOAP-Anfragen per HTTP korrekt ausgefiltert, schreibt Adkins in seinem Eintrag bei Full Disclosure. Ohne korrekte Session-ID würden Anfragen mit einem 401-Fehler abgewiesen. Mit einem leeren Formular ließe sich die Authentifizierung aber umgehen. Dann kann über die SOAP-Abfragen praktisch jede Information des Routers ausgelesen werden - auch die WLAN-Schlüssel. Entsprechend könnten Angreifer solche Geräte auch aus der Ferne angreifen, etwa über eine gefälschte Webseite.

Netgear schließt Ticket

Adkins hat eigenen Angaben nach Netgear den Fehler bereits am 18. Januar 2015 gemeldet. Netgear hatte ihm daraufhin eine E-Mail geschickt, die die Sicherheitsfunktionen der von ihm als betroffen eingestuften Geräte aufzeigte. Wenig später erhielt er eine weitere E-Mail, in der Netgear mitteilte, dass das entsprechend angelegte Ticket geschlossen sei.

Adkins hat Beispielcode für einen Exploit bei Github veröffentlicht.


eye home zur Startseite
andi_lala 17. Feb 2015

Gerade die WNDR3700v2 bzw. WNDR3800 sind Vorzeigerouter bezüglich OpenWRT Unterstützung.

Jasmin26 17. Feb 2015

Neeeee, wenn die das gezielt machen könnten wären sie ja gut! Aber so wie es jetzt ist...

Anonymer Nutzer 17. Feb 2015

das ist ein Feature. Mann muss ja an die Daten kommen sonst darf man es nicht...



Anzeige

Stellenmarkt
  1. Statistisches Bundesamt, Wiesbaden
  2. SIKA via Hays AG, Zürich (Schweiz)
  3. SSI Schäfer IT Solutions GmbH, Oberviechtach bei Weiden
  4. S E I T E N B A U GmbH, Konstanz


Anzeige
Spiele-Angebote
  1. (-20%) 35,99€
  2. mit Gutscheincode PCGAMES17 nur 82,99€ statt 89,99€

Folgen Sie uns
       


  1. FSFE

    "War das Scheitern von Limux unsere Schuld?"

  2. Code-Audit

    Kaspersky wirbt mit Transparenzinitiative um Vertrauen

  3. iOS 11+1+2=23

    Neuer Apple-Taschenrechner versagt bei Kopfrechenaufgaben

  4. Purism Librem 13 im Test

    Freiheit hat ihren Preis

  5. Andy Rubin

    Drastischer Preisnachlass beim Essential Phone

  6. Sexismus

    US-Spielforum Neogaf offenbar abgeschaltet

  7. Kiyo und Seiren X

    Razer bringt Ringlicht-Webcam für Streamer

  8. Pixel 2 XL

    Google untersucht Einbrennen des Displays

  9. Max-Planck-Gesellschaft

    Amazon eröffnet AI-Center mit 100 Jobs in Deutschland

  10. Windows 10

    Trueplay soll Cheating beim Spielen verhindern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Essential Phone im Test: Das essenzielle Android-Smartphone hat ein Problem
Essential Phone im Test
Das essenzielle Android-Smartphone hat ein Problem
  1. Teardown Das Essential Phone ist praktisch nicht zu reparieren
  2. Smartphone Essential Phone kommt mit zwei Monaten Verspätung
  3. Andy Rubin Essential gewinnt 300 Millionen US-Dollar Investorengelder

Pixel 2 und Pixel 2 XL im Test: Google fehlt der Mut
Pixel 2 und Pixel 2 XL im Test
Google fehlt der Mut
  1. Pixel Visual Core Googles eigener ISP macht HDR+ schneller
  2. Smartphones Googles Pixel 2 ist in Deutschland besonders teuer
  3. Pixel 2 und Pixel 2 XL im Hands on Googles neue Smartphone-Oberklasse überzeugt

Krack-Angriff: Kein Grund zur Panik
Krack-Angriff
Kein Grund zur Panik
  1. Neue WLAN-Treiber Intel muss WLAN und AMT-Management gegen Krack patchen
  2. Ubiquiti Amplifi und Unifi Erster Consumer-WLAN-Router wird gegen Krack gepatcht
  3. Krack WPA2 ist kaputt, aber nicht gebrochen

  1. Re: Barbie vs. He-Man

    SelfEsteem | 15:48

  2. Re: Da fällt Trump die Kinnlade runter

    quineloe | 15:48

  3. Re: Katastrophale UX

    Truster | 15:47

  4. Alternatives entspanntes Browsergame?

    TarikVaineTree | 15:46

  5. Re: Was hat das mit Sexismus zu tun?

    mannzi | 15:46


  1. 15:53

  2. 15:38

  3. 15:23

  4. 12:02

  5. 11:47

  6. 11:40

  7. 11:29

  8. 10:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel