Abo
  • Services:

Sicherheitslücke: Netgear verwendet hartcodierte Schlüssel

Ein Routermodell von Netgear weist eine gravierende Schwachstelle auf: Auf dem Gerät befinden sich ein hartcodierter Verschlüsselungskey und ein Zertifikat, die von Angreifern missbraucht werden können. Für das Update braucht Netgear mehr als sechs Monate.

Artikel veröffentlicht am ,
Zwei Router von Netgear haben gravierende Sicherheitslücken.
Zwei Router von Netgear haben gravierende Sicherheitslücken. (Bild: Amazon/Netgear)

Um die Sicherheit von Routern ist es insgesamt nicht gut bestellt, jetzt wurde erneut eine kritische Sicherheitslücke in Routern der Marke Netgear gefunden. Der Hersteller hatte die Geräte mit der Bezeichnung D6000 und D3600 mit einem hartcodierten RSA-Key und einem X.509-Zertifikat ausgestattet. Außerdem kann das Adminpasswort ausgelesen werden.

Stellenmarkt
  1. MediaNet GmbH Netzwerk- und Applikations-Service, Freiburg im Breisgau
  2. Holl Flachdachbau GmbH & Co. KG Isolierungen, Fellbach bei Stuttgart

Angreifer, die Kenntnis dieser Informationen haben, könnten diese ausnutzen, um Man-in-the-Middle-Angriffe zu starten und den verschlüsselten Traffic mitzulesen. Netgear selbst hat FAQ-Seiten bereitgestellt.

Weitere Sicherheitslücke ermöglicht Umgehung von Anmeldung

Ein Angreifer könnte außerdem eine weitere Sicherheitslücke ausnutzen, heißt es in dem Beitrag. Durch Aufruf der URL /cgi-bin/passrec.asp kann die Passwortwiederherstellungsseite aufgerufen und dort das Administratorpasswort ausgelesen werden.

Betroffen sind die Firmware-Versionen 1.0.0.47 und 1.0.049. Andere Versionen und weitere Modelle seien möglicherweise auch betroffen, heißt es in dem Post des Computer-Emergency-Response-Teams der Carnegie-Mellon-Universität. Die neue Firmware-Version entfernt die Funktion zur Wiederherstellung des Passworts nach Angaben von Netgear komplett.

Der Fehler wurde Netgear bereits am 10. Dezember 2015 gemeldet, das Update ist jedoch erst jetzt erschienen. Für die Sicherheitslücken wurden die CVE-Nummern CVE-2015-8288 und CVE-2015-8289 vergeben. Die Sicherheitslücke wurde von Mandar Jadhav von der Sicherheitsfirma Qualys gemeldet. Die beiden betroffenen Geräte sind nicht nur Router, sondern bieten ebenfalls Modemfunktionalität.



Anzeige
Top-Angebote
  1. 154,61€ (Vergleichspreis 163€)
  2. 75,62€ (Vergleichspreis 82,89€)
  3. 46,69€ (Vergleichspreis ca. 75€)
  4. 36,12€ (Vergleichspreis 42,90€)

Folgen Sie uns
       


Shadow of the Tomb Raider - Golem.de live Teil 2

In Teil 2 des Livestreams zu Shadow of the Tomb Raider finden wir lustige Grafikfehler und der Chat trinkt zu viel Bier, kann Michael aber trotzdem bei einigen Rätseln helfen.

Shadow of the Tomb Raider - Golem.de live Teil 2 Video aufrufen
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Apple: iPhone Xs und iPhone Xs Max sind bierdicht
    Apple
    iPhone Xs und iPhone Xs Max sind bierdicht

    Apple verdoppelt das iPhone X. Das Modell iPhone Xs mit 5,8 Zoll großem Display ist der Nachfolger des iPhone X und das iPhone Xs Max ist ein Plus-Modell mit 6,5 Zoll großem Display. Die Gehäuse sind sogar salzwasserfest und überstehen auch Bäder in anderen Flüssigkeiten.

    1. Apple iPhone 3GS wird in Südkorea wieder verkauft
    2. Drosselung beim iPhone Apple zahlt Kunden Geld für Akkutausch zurück
    3. NFC Yubikeys arbeiten ab sofort mit dem iPhone zusammen

    Leistungsschutzrecht: So viel Geld würden die Verlage von Google bekommen
    Leistungsschutzrecht
    So viel Geld würden die Verlage von Google bekommen

    Das europäische Leistungsschutzrecht soll die Zukunft der Presse sichern. Doch in Deutschland würde derzeit ein einziger Verlag fast zwei Drittel der Einnahmen erhalten.
    Eine Analyse von Friedhelm Greis

    1. Netzpolitik Willkommen im europäischen Filternet
    2. Urheberrecht Europaparlament für Leistungsschutzrecht und Uploadfilter
    3. Leistungsschutzrecht/Uploadfilter Wikipedia protestiert gegen Urheberrechtsreform

      •  /