Security: Sicherheitslücke in Netgear-Routern ermöglicht Fernzugriff

Eine Sicherheitslücke in Netgear-Routern soll administrativen Fernzugriff durch nicht autorisierte Nutzer erlauben. Der Hersteller arbeitet offenbar bereits an einem Patch - hat aber noch kein Datum genannt.

Artikel veröffentlicht am ,
Verschiedene Netgear-Router sollen angreifbar sein.
Verschiedene Netgear-Router sollen angreifbar sein. (Bild: Netgear)

Gleich zwei Sicherheitsfirmen haben Lücken in Netgear-Routern gefunden, die "vollen, unautorisierten, administrativen Remote-Zugriff aus der Ferne" ermöglichen sollen. Bereits im Juli soll die Lücke durch die Schweizer Firma Compass Security entdeckt und an Netgear gemeldet worden sein. Im September hatten Sicherheitsforscher von Shellshock Labs die gleiche Lücke entdeckt.

Stellenmarkt
  1. Network Architect / Network Engineer (m/w/d)
    IF-TECH AG, Passau, Ansbach, München
  2. Fachinformatiker oder Informatiker (w/m/d) für Medizinische Fachsysteme und ehealth - Schwerpunkt ... (m/w/d)
    Universitätsklinikum Hamburg-Eppendorf, Hamburg
Detailsuche

Netgear arbeitet noch an einem Patch. Betroffen sind die Firmware-Versionen N300_1.1.0.31_1.0.1.img und N300-1.1.0.28_1.0.1.img, getestet haben die Compass-Forscher die Lücke nach eigenen Angaben auf dem Modell WNR1000v4 - aber auch andere Modelle sollen betroffen sein.

Angriff über das Webinterface

Um die Schwachstelle ausnutzen zu können, muss der Administratorzugriff aus der Ferne aktiviert sein. Wenn ein Angreifer nun auf das Webinterface zugreift und falsche Zugangsdaten einträgt, wird er auf die Adresse 401_access_denied.htm umgeleitet. Greift der Hacker dann mehrfach auf die Adresse "http://ROUTER-IP/BRS_netgear_success.html" zu, hat er danach ohne Nutzername und Passwort Zugang zum Administrationsinterface.

Netgear soll Compass Security bereits Anfang September Zugriff auf eine Beta-Version einer gepatchten Firmware gegeben haben. Doch bislang gibt es kein offizielles Statement von Netgear, wann mit einem öffentlich verfügbaren Update zu rechnen ist. Alexander Herzog, der Chief Technology Officer von Compass Security sagte nach Angaben von Threatpost, dass mehr als 10.000 Router bereits erfolgreich angegriffen wurden. Netgear meldet laut Angaben der BBC, dass weniger als 5000 Router betroffen seien.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Optibike
E-Bike mit 480 km Reichweite kostet 17.000 Euro

Das E-Bike Optibike R22 Everest setzt mit seinen zwei Akkus auf Reichweite.

Optibike: E-Bike mit 480 km Reichweite kostet 17.000 Euro
Artikel
  1. Krypto-Kriminalität: Behörden fahnden nach Onecoin-Betrügerin
    Krypto-Kriminalität
    Behörden fahnden nach Onecoin-Betrügerin

    Deutsche und internationale Behörden suchen nach den Hintermännern und -frauen von Onecoin. Der Schaden durch Betrug mit der vermeintlichen Kryptowährung geht in die Milliarden.

  2. Hassrede: Bayern will soziale Netzwerke bestrafen
    Hassrede
    Bayern will soziale Netzwerke bestrafen

    Der bayrische Justizminister fordert, bei der Verbreitung von Hassrede auch die Betreiber von sozialen Medien stärker zur Verantwortung zu ziehen.

  3. Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
    Prehistoric Planet
    Danke, Apple, für so grandiose Dinosaurier!

    Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
    Ein IMHO von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 870 QVO 1 TB 79€ • Prime Video: Filme leihen für 0,99€ • Alternate (u. a. Recaro Rae Essential 429€) • Gigabyte RTX 3080 12 GB ab 1.024€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • SanDisk Ultra microSDXC 256 GB ab 14,99€ • Sackboy 19,99€ [Werbung]
    •  /