• IT-Karriere:
  • Services:

TLS: Netgear verteilt private Schlüssel in Firmware

Sicherheitsforscher haben private Schlüssel für TLS-Zertifikate veröffentlicht, die Netgear mit seiner Router-Firmware verteilt. Der Hersteller hatte nur wenige Tage Reaktionszeit. Die Forscher lehnen die Praktiken von Netgear prinzipiell ab, was zur Veröffentlichung geführt hat.

Artikel veröffentlicht am ,
Die Firmware von Netgear-Routern enthält private Schlüssel für TLS-Zertifikate.
Die Firmware von Netgear-Routern enthält private Schlüssel für TLS-Zertifikate. (Bild: Netgear)

Dass eine schlechte Zusammenarbeit mit Sicherheitsforschern und Community oft auch negative Konsequenzen für Unternehmen haben kann, zeigt sich an einem aktuellen Fall von Netgear. Der Hersteller für Netzwerkequipment verteilt offenbar die privaten Schlüssel für HTTPS-Verbindungen in seiner Firmware. Zwei Sicherheitsforscher haben diese nun nach nicht einmal einer Woche nach Entdeckung direkt selbst auf Github veröffentlicht. Das ist offenbar auch aus Frustration über den Umgang mit Sicherheitslücken durch Netgear geschehen.

Stellenmarkt
  1. Max Planck Institute for Human Development, Berlin
  2. Universität Hamburg, Hamburg

Um die Nutzung der Login-Seiten von Routern für Endnutzer zu vereinfachen, nutzen viele Hersteller wie auch Netgear eine spezielle Domain statt einer internen IP-Adresse. Die Änderungen in Browsern, HTTP-Verbindungen als nicht mehr sicher anzuzeigen oder auch Passwörter nicht automatisch zu vervollständigen und vor einem Login zu warnen, verursacht dabei aber einige Probleme.

Netgear hat sich deshalb offenbar dazu entschlossen, diese besondere Domain per HTTPS zur Verfügung zu stellen und mit einem Zertifikat abzusichern, das von einer CA ausgestellt worden ist. Die Browser vertrauen dann dem Zertifikat und zeigen die Login-Seite entsprechend abgesichert an. Damit dies aber auch vom eigentlichen Router so eingesetzt werden kann, muss der private Schlüssel für das Zertifikat auch mit der Router-Firmware ausgeliefert werden.

Mit dem Zertifikat und dem privaten Schlüssel ließen sich theoretisch Man-in-the-Middle-Angriffe durchführen. Im konkreten Fall dürfte die praktische Durchführbarkeit eines solchen Angriffes zwar eher gering ausfallen, wie der Mozilla-Entwickler Adam Roach schreibt. Dennoch sei es generell keine gute Idee, dem Zertifikat noch zu vertrauen, da nun der private Schlüssel dafür bekannt sei. Dies sollte außerdem dazu führen, dass die CA, die das Zertifikat ausgestellt hat, dieses zurückziehen wird.

Veröffentlichung als oberstes Gebot

An der einseitigen Veröffentlichung der privaten Schlüssel, ohne dass Netgear darauf hätte angemessen reagieren können, ist vor allem die Begründung der Sicherheitsforscher interessant. Denn diese schreiben einerseits, dass sie trotz mehrmaliger Versuche keinen direkten Kontakt mit dem Unternehmen aufbauen konnten. Hierbei ist jedoch auch wichtig hervorzuheben, dass die beiden Forscher lediglich vier Werktage dafür verstreichen ließen.

Die Forscher weisen andererseits darauf hin, dass die öffentlichen Bug-Bounty-Programme von Netgear eine Veröffentlichung der Details zu Sicherheitslücken grundsätzlich verbieten. Die Forscher sind aber der Meinung, "dass die Öffentlichkeit über diese Zertifikatslecks Bescheid wissen sollte, um sich angemessen zu schützen, und dass die fraglichen Zertifikate widerrufen werden sollten, damit große Browser ihnen nicht mehr vertrauen". Mit den Bug-Bounty-Programmen hätte beides aber nicht garantiert werden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-65%) 13,99€
  2. 23,99€
  3. (u. a. Far Cry 5 für 14,99€, Far Cry New Dawn für 17,99€, Far Cry für 3,99€)

treysis 22. Jan 2020 / Themenstart

Nicht unbedingt. Das kommt halt sehr darauf an, was für Geräte verwendet werden. Ich...

treysis 22. Jan 2020 / Themenstart

Nein, die SecureEnclave hat erstmal keinen Schlüssel. Das ist ein Krypto-Prozessor. In...

Spaghetticode 22. Jan 2020 / Themenstart

Nun, es könnte ja auch die eigene Hardware kompomittiert sein. Das einfachste...

treysis 22. Jan 2020 / Themenstart

Ja, nur gibt's da halt irgendwie auch Browser-Warnungen, weil man auf einer...

Eheran 22. Jan 2020 / Themenstart

Nein, kommt nicht drauf an. Ob das eigene Heimnetz gehackt wird oder ob man einen Unfall...

Kommentieren


Folgen Sie uns
       


Samsung Galaxy S20 - Hands on

Samsung hat gleich drei neue Modelle der Galaxy-S20-Serie vorgestellt. Golem.de konnte sich die Smartphones im Vorfeld bereits genauer anschauen.

Samsung Galaxy S20 - Hands on Video aufrufen
Mythic Quest: Spielentwickler im Schniedelstress
Mythic Quest
Spielentwickler im Schniedelstress

Zweideutige Zweckentfremdung von Ingame-Extras, dazu Ärger mit Hackern und Onlinenazis: Die Apple-TV-Serie Mythic Quest bietet einen interessanten, allerdings nur stellenweise humorvollen Einblick in die Spielebrache.
Eine Rezension von Peter Steinlechner

  1. Apple TV TVOS 13 mit Mehrbenutzer-Option erschienen

Threadripper 3990X im Test: AMDs 64-kerniger Hammer
Threadripper 3990X im Test
AMDs 64-kerniger Hammer

Für 4.000 Euro ist der Ryzen Threadripper 3990X ein Spezialwerkzeug: Die 64-kernige CPU eignet sich exzellent für Rendering oder Video-Encoding, zumindest bei genügend RAM - wir benötigten teils 128 GByte.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen Mobile 4000 (Renoir) Lasst die Ära der schrottigen AMD-Notebooks enden!
  2. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  3. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks

Frauen in der Technik: Von wegen keine Vorbilder!
Frauen in der Technik
Von wegen keine Vorbilder!

Technik, also auch Computertechnik, war schon immer ein männlich dominiertes Feld. Das heißt aber nicht, dass es in der Geschichte keine bedeutenden Programmiererinnen gab. Besonders das Militär zeigte reges Interesse an den Fähigkeiten von Frauen.
Von Valerie Lux

  1. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  2. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  3. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig

    •  /