• IT-Karriere:
  • Services:

TLS: Netgear verteilt private Schlüssel in Firmware

Sicherheitsforscher haben private Schlüssel für TLS-Zertifikate veröffentlicht, die Netgear mit seiner Router-Firmware verteilt. Der Hersteller hatte nur wenige Tage Reaktionszeit. Die Forscher lehnen die Praktiken von Netgear prinzipiell ab, was zur Veröffentlichung geführt hat.

Artikel veröffentlicht am ,
Die Firmware von Netgear-Routern enthält private Schlüssel für TLS-Zertifikate.
Die Firmware von Netgear-Routern enthält private Schlüssel für TLS-Zertifikate. (Bild: Netgear)

Dass eine schlechte Zusammenarbeit mit Sicherheitsforschern und Community oft auch negative Konsequenzen für Unternehmen haben kann, zeigt sich an einem aktuellen Fall von Netgear. Der Hersteller für Netzwerkequipment verteilt offenbar die privaten Schlüssel für HTTPS-Verbindungen in seiner Firmware. Zwei Sicherheitsforscher haben diese nun nach nicht einmal einer Woche nach Entdeckung direkt selbst auf Github veröffentlicht. Das ist offenbar auch aus Frustration über den Umgang mit Sicherheitslücken durch Netgear geschehen.

Stellenmarkt
  1. ADG Apotheken-Dienstleistungsgesellschaft mbH, Mannheim
  2. BAM Corporate Services GmbH, Frankfurt am Main

Um die Nutzung der Login-Seiten von Routern für Endnutzer zu vereinfachen, nutzen viele Hersteller wie auch Netgear eine spezielle Domain statt einer internen IP-Adresse. Die Änderungen in Browsern, HTTP-Verbindungen als nicht mehr sicher anzuzeigen oder auch Passwörter nicht automatisch zu vervollständigen und vor einem Login zu warnen, verursacht dabei aber einige Probleme.

Netgear hat sich deshalb offenbar dazu entschlossen, diese besondere Domain per HTTPS zur Verfügung zu stellen und mit einem Zertifikat abzusichern, das von einer CA ausgestellt worden ist. Die Browser vertrauen dann dem Zertifikat und zeigen die Login-Seite entsprechend abgesichert an. Damit dies aber auch vom eigentlichen Router so eingesetzt werden kann, muss der private Schlüssel für das Zertifikat auch mit der Router-Firmware ausgeliefert werden.

Mit dem Zertifikat und dem privaten Schlüssel ließen sich theoretisch Man-in-the-Middle-Angriffe durchführen. Im konkreten Fall dürfte die praktische Durchführbarkeit eines solchen Angriffes zwar eher gering ausfallen, wie der Mozilla-Entwickler Adam Roach schreibt. Dennoch sei es generell keine gute Idee, dem Zertifikat noch zu vertrauen, da nun der private Schlüssel dafür bekannt sei. Dies sollte außerdem dazu führen, dass die CA, die das Zertifikat ausgestellt hat, dieses zurückziehen wird.

Veröffentlichung als oberstes Gebot

An der einseitigen Veröffentlichung der privaten Schlüssel, ohne dass Netgear darauf hätte angemessen reagieren können, ist vor allem die Begründung der Sicherheitsforscher interessant. Denn diese schreiben einerseits, dass sie trotz mehrmaliger Versuche keinen direkten Kontakt mit dem Unternehmen aufbauen konnten. Hierbei ist jedoch auch wichtig hervorzuheben, dass die beiden Forscher lediglich vier Werktage dafür verstreichen ließen.

Die Forscher weisen andererseits darauf hin, dass die öffentlichen Bug-Bounty-Programme von Netgear eine Veröffentlichung der Details zu Sicherheitslücken grundsätzlich verbieten. Die Forscher sind aber der Meinung, "dass die Öffentlichkeit über diese Zertifikatslecks Bescheid wissen sollte, um sich angemessen zu schützen, und dass die fraglichen Zertifikate widerrufen werden sollten, damit große Browser ihnen nicht mehr vertrauen". Mit den Bug-Bounty-Programmen hätte beides aber nicht garantiert werden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Asus Geforce RTX 2060 Super Dual Evo V2 OC 8GB + Rainbow Six: Siege für 369,45€, Asus...
  2. 112,10€ (mit 20€ Direktabzug - Bestpreis!)
  3. (u. a. Dyson Turmventilator für 291,48€, iRobot Roomba Saugroboter für 271,97€, LG...
  4. (u. a. Der Hobbit und Der Herr Der Ringe: Mittelerde Collection (Blu-ray) für 19,49€, Alf - die...

treysis 22. Jan 2020

Nicht unbedingt. Das kommt halt sehr darauf an, was für Geräte verwendet werden. Ich...

treysis 22. Jan 2020

Nein, die SecureEnclave hat erstmal keinen Schlüssel. Das ist ein Krypto-Prozessor. In...

Spaghetticode 22. Jan 2020

Nun, es könnte ja auch die eigene Hardware kompomittiert sein. Das einfachste...

treysis 22. Jan 2020

Ja, nur gibt's da halt irgendwie auch Browser-Warnungen, weil man auf einer...

Eheran 22. Jan 2020

Nein, kommt nicht drauf an. Ob das eigene Heimnetz gehackt wird oder ob man einen Unfall...


Folgen Sie uns
       


Dell Latitude 7220 - Test

Das Latitude 7220 ist so stabil wie es aussieht: Es hält Wasser, Blumenerde und sogar mehrere Stürze hintereinander aus.

Dell Latitude 7220 - Test Video aufrufen
Energiewende: Schafft endlich das Brennstoffzellenauto ab!
Energiewende
Schafft endlich das Brennstoffzellenauto ab!

Sie sind teurer und leistungsschwächer als E-Autos und brauchen dreimal so viel Strom. Der Akku hat gewonnen. Wasserstoff sollte für Chemie benutzt werden.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Hyundai Nexo Wasserdampf im Rückspiegel
  2. Brennstoffzellenauto Bayern will 100 Wasserstofftankstellen bauen
  3. Elektromobilität Daimler und Volvo wollen Brennstoffzellen für Lkw entwickeln

Materiejets aus schwarzem Loch: Schneller als das Licht?
Materiejets aus schwarzem Loch
Schneller als das Licht?

Das schwarze Loch stößt Materie mit einer Geschwindigkeit aus, die wie Überlichtgeschwindigkeit aussieht.
Ein Bericht von Andreas Lutter

  1. Oumuamua Ein ganz normal merkwürdiger interstellarer Asteroid

PC-Hardware: Das kann DDR5-Arbeitsspeicher
PC-Hardware
Das kann DDR5-Arbeitsspeicher

Vierfache Kapazität, doppelte Geschwindigkeit: Ein Überblick zum DDR5-Speicher für Server und Desktop-PCs.
Ein Bericht von Marc Sauter


      •  /