Sicherheitslücke: Netgear verwendet hartcodierte Schlüssel

Ein Routermodell von Netgear weist eine gravierende Schwachstelle auf: Auf dem Gerät befinden sich ein hartcodierter Verschlüsselungskey und ein Zertifikat, die von Angreifern missbraucht werden können. Für das Update braucht Netgear mehr als sechs Monate.

Artikel veröffentlicht am ,
Zwei Router von Netgear haben gravierende Sicherheitslücken.
Zwei Router von Netgear haben gravierende Sicherheitslücken. (Bild: Amazon/Netgear)

Um die Sicherheit von Routern ist es insgesamt nicht gut bestellt, jetzt wurde erneut eine kritische Sicherheitslücke in Routern der Marke Netgear gefunden. Der Hersteller hatte die Geräte mit der Bezeichnung D6000 und D3600 mit einem hartcodierten RSA-Key und einem X.509-Zertifikat ausgestattet. Außerdem kann das Adminpasswort ausgelesen werden.

Stellenmarkt
  1. Iot Solution Engineer (m/w/d) Digital Factory
    Dürr Systems AG, Bietigheim-Bissingen
  2. Data Engineer im Chief Data Office (m/w/d)
    Allianz Versicherungs-AG, München
Detailsuche

Angreifer, die Kenntnis dieser Informationen haben, könnten diese ausnutzen, um Man-in-the-Middle-Angriffe zu starten und den verschlüsselten Traffic mitzulesen. Netgear selbst hat FAQ-Seiten bereitgestellt.

Weitere Sicherheitslücke ermöglicht Umgehung von Anmeldung

Ein Angreifer könnte außerdem eine weitere Sicherheitslücke ausnutzen, heißt es in dem Beitrag. Durch Aufruf der URL /cgi-bin/passrec.asp kann die Passwortwiederherstellungsseite aufgerufen und dort das Administratorpasswort ausgelesen werden.

Betroffen sind die Firmware-Versionen 1.0.0.47 und 1.0.049. Andere Versionen und weitere Modelle seien möglicherweise auch betroffen, heißt es in dem Post des Computer-Emergency-Response-Teams der Carnegie-Mellon-Universität. Die neue Firmware-Version entfernt die Funktion zur Wiederherstellung des Passworts nach Angaben von Netgear komplett.

Golem Karrierewelt
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

Der Fehler wurde Netgear bereits am 10. Dezember 2015 gemeldet, das Update ist jedoch erst jetzt erschienen. Für die Sicherheitslücken wurden die CVE-Nummern CVE-2015-8288 und CVE-2015-8289 vergeben. Die Sicherheitslücke wurde von Mandar Jadhav von der Sicherheitsfirma Qualys gemeldet. Die beiden betroffenen Geräte sind nicht nur Router, sondern bieten ebenfalls Modemfunktionalität.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Probefahrt mit EQS SUV
Geländegängiger Luxus auf vier Rädern

Nach einer Testrunde in Colorado versteht man, was Mercedes beim EQS SUV mit Top-End Luxury meint.
Ein Bericht von Dirk Kunde

Probefahrt mit EQS SUV: Geländegängiger Luxus auf vier Rädern
Artikel
  1. Hausanschluss: Warum sich einige nicht für Glasfaser entscheiden
    Hausanschluss
    Warum sich einige nicht für Glasfaser entscheiden

    Nicht alle geförderten Projekte für einen Glasfaser-Hausanschluss können umgesetzt werden. Manche Hausbesitzer wollen einfach nicht.

  2. Flexpoint, Bfloat16, TensorFloat32, FP8: Dank KI zu neuen Gleitkommazahlen
    Flexpoint, Bfloat16, TensorFloat32, FP8
    Dank KI zu neuen Gleitkommazahlen

    Die Dominanz der KI-Forschung bringt die Gleitkommazahlen erstmals seit Jahrzehnten wieder durcheinander. Darauf muss auch die Hardware-Industrie reagieren.
    Von Sebastian Grüner

  3. Windows und Office: Das neue One Outlook kann offiziell ausprobiert werden
    Windows und Office
    Das neue One Outlook kann offiziell ausprobiert werden

    Office-Insider bekommen die Preview-Version des neuen Outlook-Clients gestellt. Der soll irgendwann die bisherige Windows-Mail-App ersetzen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek nur noch heute • Xbox Series S + FIFA 23 259€ • MindStar (Mega Fastro SSD 1TB 69€, KF DDR5-6000 32GB Kit 229€) • PCGH-Ratgeber-PC 3000€ Radeon Edition 2.500€ • Alternate (Be Quiet Tower-Gehäuse 89,90€) • PS5-Controller GoW Ragnarök Limited Edition vorbestellbar [Werbung]
    •  /