Zum Hauptinhalt Zur Navigation

Abo testen Anmelden

Responsible Disclosure: Vom Finden und Melden von Sicherheitslücken

Im Auftrag eines ISP habe ich mehrere Sicherheitslücken in einem Cisco-Router gefunden. Hier erkläre ich, wie ich vorgegangen bin.

25. Januar 2022 um 12:00 Uhr / Ein Erfahrungsbericht von Marco Wiorek

9 Kommentare News folgen (öffnet im neuen Fenster)

Manchmal liegen die Sicherheitslücken fast schon auf der Hand. (Bild: mastersenaiper/Pixabay) — Manchmal liegen die Sicherheitslücken fast schon auf der Hand. Bild: mastersenaiper/Pixabay

Sie sind keine Ausnahmeerscheinung, sondern allgegenwärtig: Schwachstellen in Geräten und ihrer Software. Auch große Hersteller wie Cisco sind davor nicht gefeit und müssen sich gelegentlich von Außenstehenden Fehler aufzeigen lassen, die vermeidbar sind. So auch zuletzt, als schwerwiegende Lücken in der Firmware einiger Router gefunden wurden.

Bei meiner Arbeit als Produkt- und Softwareentwickler für einen mittelständischen ISP bekomme ich hin und wieder neue Geräte in die Hände, die Kandidaten für den Einsatz beim Kunden sein könnten. Dabei handelt es sich meist um Router verschiedenster Hersteller und Preissegmente, die unter anderem auf Kompatibilität zu unserer Hardware und eingesetzten Diensten getestet werden sollen. Zusätzlich durchlaufen die Geräte eine Sicherheitsprüfung, um den späteren Supportaufwand zu minimieren.

Zur Startseite 9 Kommentare

Karrierewelt

Teamleiter*in Digitale Technologien Campact e.V., Berlin (öffnet im neuen Fenster)

SENIOR SOFTWAREENTWICKLER MS DYNAMICS BUSINESS CENTRAL (M/W/D) bitformer GmbH, Braunschweig, Recklinghausen (öffnet im neuen Fenster)

Mitarbeiter (w/m/d) zur Unterstützung im IT-Bereitstellungsmanagement Bundesverwaltungsamt Berlin, Berlin (öffnet im neuen Fenster)

Leiter Projektmanagement und Consulting Investmentplattform (m/w/d) Investify S.A., Köln (öffnet im neuen Fenster)

Das Jülicher Amtsgericht hat den Entdecker einer Schwachstelle verurteilt. (Bild: pixabay.com / succo) (pixabay.com / succo)

Modern Solution: IT-Experte wegen Nutzung einer Zugriffssoftware verurteilt

Das Amtsgericht Jülich hat den Mann verurteilt, weil er eine Zugriffssoftware verwendet hatte, um auf eine unzureichend geschützte Datenbank zuzugreifen.

Die Baumarktkette Obi ist kein Vorbild im Umgang mit Sicherheitsforschern. (Bild: Kurt Bouda/Pixabay) (Kurt Bouda/Pixabay)

Responsible Disclosure: Obi macht das Melden einer Sicherheitslücke schwer

Ein Sicherheitsforscher hat eine Lücke bei mehreren Unternehmen und Stadtverwaltungen gemeldet. Obi machte es ihm besonders schwer.

AVM hat eine kritische Sicherheitslücke in der Fritzbox geschlossen. (Bild: AVM) (AVM)

AVM: Fritzbox-Schwachstelle wohl ohne Fernzugriff ausnutzbar

Seit Anfang September verteilt AVM Sicherheitsupdates für die Fritzbox. Inzwischen gibt es weitere Informationen zur gepatchten Schwachstelle.

Der iX3 ist das erste BMW-Modell der "Neuen Klasse". (Bild: Friedhelm Greis/Golem) (Friedhelm Greis/Golem)

Probefahrt im BMW iX3: Kein Elektroauto für Kurzsichtige

Update Mit dem iX3 startet BMW in eine neue Ära. Auf der Probefahrt auf öffentlichen Straßen zeigen sich viele Vorteile - und noch einige Schwächen des Elektro-SUV.

Unter der Marke Crucial verkauft Micron RAM für Endkunden. (Bild: Micron) (Micron)

Nach fast 30 Jahren: Crucial ist Geschichte

Micron verkauft Crucial-SSDs und -RAM an Endkunden. Die Marke wird bald eingestellt, um Kapazitäten für Enterprise-RAM zu schaffen.

Die neue Norm vereinfacht die Nutzung von kleinen Solarkraftwerken, hält aber Beschränkungen bereit. (Bild: Getty Images/Philipp Guelland) (Getty Images/Philipp Guelland)

Neue VDE-Norm: Balkonkraftwerk mit Schuko-Stecker sorgt auch für Frust

Eine unerklärliche Begrenzung für Solaranlagen auf dem Balkon verschenkt viel Potenzial, das die Energiewende im Kleinen weiter beschleunigt hätte.

Schnäppchen, Rabatte und Top-Angebote: Die besten Deals des Tages

Daily Deals • Zotac RTX 5080 1.349€ • Samsung 9100 Pro 1TB 162€ • Corsair PC-Komponenten und Gaming-Zubehör bis -51% • Gigabyte OLED 27" QHD 240Hz 512€ • Gigabyte RTX 5080 1.399€ • Verbatim SSD 1TB (PS5-komp.) 60,90€ [Werbung]