Abo
  • Services:

Sicherheitslücke: Netgear verwendet hartcodierte Schlüssel

Ein Routermodell von Netgear weist eine gravierende Schwachstelle auf: Auf dem Gerät befinden sich ein hartcodierter Verschlüsselungskey und ein Zertifikat, die von Angreifern missbraucht werden können. Für das Update braucht Netgear mehr als sechs Monate.

Artikel veröffentlicht am ,
Zwei Router von Netgear haben gravierende Sicherheitslücken.
Zwei Router von Netgear haben gravierende Sicherheitslücken. (Bild: Amazon/Netgear)

Um die Sicherheit von Routern ist es insgesamt nicht gut bestellt, jetzt wurde erneut eine kritische Sicherheitslücke in Routern der Marke Netgear gefunden. Der Hersteller hatte die Geräte mit der Bezeichnung D6000 und D3600 mit einem hartcodierten RSA-Key und einem X.509-Zertifikat ausgestattet. Außerdem kann das Adminpasswort ausgelesen werden.

Stellenmarkt
  1. Bosch Gruppe, Berlin
  2. OKI EUROPE LIMITED, Branch Office Düsseldorf, Düsseldorf

Angreifer, die Kenntnis dieser Informationen haben, könnten diese ausnutzen, um Man-in-the-Middle-Angriffe zu starten und den verschlüsselten Traffic mitzulesen. Netgear selbst hat FAQ-Seiten bereitgestellt.

Weitere Sicherheitslücke ermöglicht Umgehung von Anmeldung

Ein Angreifer könnte außerdem eine weitere Sicherheitslücke ausnutzen, heißt es in dem Beitrag. Durch Aufruf der URL /cgi-bin/passrec.asp kann die Passwortwiederherstellungsseite aufgerufen und dort das Administratorpasswort ausgelesen werden.

Betroffen sind die Firmware-Versionen 1.0.0.47 und 1.0.049. Andere Versionen und weitere Modelle seien möglicherweise auch betroffen, heißt es in dem Post des Computer-Emergency-Response-Teams der Carnegie-Mellon-Universität. Die neue Firmware-Version entfernt die Funktion zur Wiederherstellung des Passworts nach Angaben von Netgear komplett.

Der Fehler wurde Netgear bereits am 10. Dezember 2015 gemeldet, das Update ist jedoch erst jetzt erschienen. Für die Sicherheitslücken wurden die CVE-Nummern CVE-2015-8288 und CVE-2015-8289 vergeben. Die Sicherheitslücke wurde von Mandar Jadhav von der Sicherheitsfirma Qualys gemeldet. Die beiden betroffenen Geräte sind nicht nur Router, sondern bieten ebenfalls Modemfunktionalität.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)

Folgen Sie uns
       


Golem.de besucht Pininfarina (Reportage)

Golem.de hat bei Pininfarina in Turin hinter die Kulissen geschaut und sich mit den Designern des Elektrosportwagens PF0 unterhalten.

Golem.de besucht Pininfarina (Reportage) Video aufrufen
Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


    Lift Aircraft: Mit Hexa können auch Fluglaien abheben
    Lift Aircraft
    Mit Hexa können auch Fluglaien abheben

    Hexa ist ein Fluggerät, das ähnlich wie der Volocopter, von 18 Rotoren angetrieben wird. Gesteuert wird das Fluggerät per Joystick - von einem Piloten, der dafür keine Ausbildung oder Lizenz benötigt.

    1. Plimp Egan Airships verleiht dem Luftschiff Flügel
    2. Luftfahrt Irische Luftaufsicht untersucht Ufo-Sichtung
    3. Hoher Schaden Das passiert beim Einschlag einer Drohne in ein Flugzeug

    Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
    Resident Evil 2 angespielt
    Neuer Horror mit altbekannten Helden

    Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
    Von Peter Steinlechner

    1. Resident Evil Monster und Mafia werden neu aufgelegt

      •  /