TLS: Netgear verteilt private Schlüssel in Firmware

Sicherheitsforscher haben private Schlüssel für TLS-Zertifikate veröffentlicht, die Netgear mit seiner Router-Firmware verteilt. Der Hersteller hatte nur wenige Tage Reaktionszeit. Die Forscher lehnen die Praktiken von Netgear prinzipiell ab, was zur Veröffentlichung geführt hat.

Artikel veröffentlicht am ,
Die Firmware von Netgear-Routern enthält private Schlüssel für TLS-Zertifikate.
Die Firmware von Netgear-Routern enthält private Schlüssel für TLS-Zertifikate. (Bild: Netgear)

Dass eine schlechte Zusammenarbeit mit Sicherheitsforschern und Community oft auch negative Konsequenzen für Unternehmen haben kann, zeigt sich an einem aktuellen Fall von Netgear. Der Hersteller für Netzwerkequipment verteilt offenbar die privaten Schlüssel für HTTPS-Verbindungen in seiner Firmware. Zwei Sicherheitsforscher haben diese nun nach nicht einmal einer Woche nach Entdeckung direkt selbst auf Github veröffentlicht. Das ist offenbar auch aus Frustration über den Umgang mit Sicherheitslücken durch Netgear geschehen.

Stellenmarkt
  1. Embedded Linux-Programmierer (m/w/d) Entwicklung
    wenglor MEL GmbH, Eching
  2. Projektmanager (m/w/d) Zentrallogistik - Schwerpunkt ERP
    Goldbeck GmbH, Bielefeld
Detailsuche

Um die Nutzung der Login-Seiten von Routern für Endnutzer zu vereinfachen, nutzen viele Hersteller wie auch Netgear eine spezielle Domain statt einer internen IP-Adresse. Die Änderungen in Browsern, HTTP-Verbindungen als nicht mehr sicher anzuzeigen oder auch Passwörter nicht automatisch zu vervollständigen und vor einem Login zu warnen, verursacht dabei aber einige Probleme.

Netgear hat sich deshalb offenbar dazu entschlossen, diese besondere Domain per HTTPS zur Verfügung zu stellen und mit einem Zertifikat abzusichern, das von einer CA ausgestellt worden ist. Die Browser vertrauen dann dem Zertifikat und zeigen die Login-Seite entsprechend abgesichert an. Damit dies aber auch vom eigentlichen Router so eingesetzt werden kann, muss der private Schlüssel für das Zertifikat auch mit der Router-Firmware ausgeliefert werden.

Mit dem Zertifikat und dem privaten Schlüssel ließen sich theoretisch Man-in-the-Middle-Angriffe durchführen. Im konkreten Fall dürfte die praktische Durchführbarkeit eines solchen Angriffes zwar eher gering ausfallen, wie der Mozilla-Entwickler Adam Roach schreibt. Dennoch sei es generell keine gute Idee, dem Zertifikat noch zu vertrauen, da nun der private Schlüssel dafür bekannt sei. Dies sollte außerdem dazu führen, dass die CA, die das Zertifikat ausgestellt hat, dieses zurückziehen wird.

Veröffentlichung als oberstes Gebot

Golem Karrierewelt
  1. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    17./18.10.2022, Virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    21.-23.11.2022, Virtuell
Weitere IT-Trainings

An der einseitigen Veröffentlichung der privaten Schlüssel, ohne dass Netgear darauf hätte angemessen reagieren können, ist vor allem die Begründung der Sicherheitsforscher interessant. Denn diese schreiben einerseits, dass sie trotz mehrmaliger Versuche keinen direkten Kontakt mit dem Unternehmen aufbauen konnten. Hierbei ist jedoch auch wichtig hervorzuheben, dass die beiden Forscher lediglich vier Werktage dafür verstreichen ließen.

Die Forscher weisen andererseits darauf hin, dass die öffentlichen Bug-Bounty-Programme von Netgear eine Veröffentlichung der Details zu Sicherheitslücken grundsätzlich verbieten. Die Forscher sind aber der Meinung, "dass die Öffentlichkeit über diese Zertifikatslecks Bescheid wissen sollte, um sich angemessen zu schützen, und dass die fraglichen Zertifikate widerrufen werden sollten, damit große Browser ihnen nicht mehr vertrauen". Mit den Bug-Bounty-Programmen hätte beides aber nicht garantiert werden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


treysis 22. Jan 2020

Nicht unbedingt. Das kommt halt sehr darauf an, was für Geräte verwendet werden. Ich...

treysis 22. Jan 2020

Nein, die SecureEnclave hat erstmal keinen Schlüssel. Das ist ein Krypto-Prozessor. In...

Spaghetticode 22. Jan 2020

Nun, es könnte ja auch die eigene Hardware kompomittiert sein. Das einfachste...

treysis 22. Jan 2020

Ja, nur gibt's da halt irgendwie auch Browser-Warnungen, weil man auf einer...



Aktuell auf der Startseite von Golem.de
Neue Grafikkarten
Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht

Der US-Händler Newegg gibt einen Blick auf die Preise der Nvidia-Ada-Grafikkarten. Sie werden teurer als die Geforce RTX 3090 zuvor.

Neue Grafikkarten: Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht
Artikel
  1. Smart Home Eco Systems: Was unterscheidet Alexa von Homekit von Google Home?
    Smart Home Eco Systems
    Was unterscheidet Alexa von Homekit von Google Home?

    Alexa, Homekit, Google Home - ist das nicht eigentlich alles das Gleiche? Nein, es gibt erhebliche Unterschiede bei Sprachsteuerung, Integration und Datenschutz. Ein Vergleich.
    Eine Analyse von Karl-Heinz Müller

  2. Hideo Kojima: Es sollte ein Death-Stranding-Spiel für Google Stadia geben
    Hideo Kojima
    Es sollte ein Death-Stranding-Spiel für Google Stadia geben

    Hideo Kojima arbeitete am Exklusivtitel für Stadia. Das wurde vorzeitig eingestellt, auch weil Google nicht an Einzelspieler-Games glaubte.

  3. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Razer DeathAdder V3 Pro 106,39€ • Alternate (u. a. Kingston FURY Beast RGB 32 GB DDR5-6000 226,89€, be quiet! Silent Base 802 Window 156,89€) • MindFactory (u. a. Kingston A400 240/480 GB 17,50€/32€) • SanDisk microSDXC 400 GB 29,99€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /