TLS: Netgear verteilt private Schlüssel in Firmware

Sicherheitsforscher haben private Schlüssel für TLS-Zertifikate veröffentlicht, die Netgear mit seiner Router-Firmware verteilt. Der Hersteller hatte nur wenige Tage Reaktionszeit. Die Forscher lehnen die Praktiken von Netgear prinzipiell ab, was zur Veröffentlichung geführt hat.

Artikel veröffentlicht am ,
Die Firmware von Netgear-Routern enthält private Schlüssel für TLS-Zertifikate.
Die Firmware von Netgear-Routern enthält private Schlüssel für TLS-Zertifikate. (Bild: Netgear)

Dass eine schlechte Zusammenarbeit mit Sicherheitsforschern und Community oft auch negative Konsequenzen für Unternehmen haben kann, zeigt sich an einem aktuellen Fall von Netgear. Der Hersteller für Netzwerkequipment verteilt offenbar die privaten Schlüssel für HTTPS-Verbindungen in seiner Firmware. Zwei Sicherheitsforscher haben diese nun nach nicht einmal einer Woche nach Entdeckung direkt selbst auf Github veröffentlicht. Das ist offenbar auch aus Frustration über den Umgang mit Sicherheitslücken durch Netgear geschehen.

Stellenmarkt
  1. Informatikerin / Informatiker (w/m/d) für Data Center Infrastruktur am Zentrum für Informationstechnologie ... (m/w/d)
    Universität Passau, Passau
  2. IT-Netzwerkadministrator (m/w/d)
    DRK Landesverband Rheinland-Pfalz e.V., Mainz
Detailsuche

Um die Nutzung der Login-Seiten von Routern für Endnutzer zu vereinfachen, nutzen viele Hersteller wie auch Netgear eine spezielle Domain statt einer internen IP-Adresse. Die Änderungen in Browsern, HTTP-Verbindungen als nicht mehr sicher anzuzeigen oder auch Passwörter nicht automatisch zu vervollständigen und vor einem Login zu warnen, verursacht dabei aber einige Probleme.

Netgear hat sich deshalb offenbar dazu entschlossen, diese besondere Domain per HTTPS zur Verfügung zu stellen und mit einem Zertifikat abzusichern, das von einer CA ausgestellt worden ist. Die Browser vertrauen dann dem Zertifikat und zeigen die Login-Seite entsprechend abgesichert an. Damit dies aber auch vom eigentlichen Router so eingesetzt werden kann, muss der private Schlüssel für das Zertifikat auch mit der Router-Firmware ausgeliefert werden.

Mit dem Zertifikat und dem privaten Schlüssel ließen sich theoretisch Man-in-the-Middle-Angriffe durchführen. Im konkreten Fall dürfte die praktische Durchführbarkeit eines solchen Angriffes zwar eher gering ausfallen, wie der Mozilla-Entwickler Adam Roach schreibt. Dennoch sei es generell keine gute Idee, dem Zertifikat noch zu vertrauen, da nun der private Schlüssel dafür bekannt sei. Dies sollte außerdem dazu führen, dass die CA, die das Zertifikat ausgestellt hat, dieses zurückziehen wird.

Veröffentlichung als oberstes Gebot

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

An der einseitigen Veröffentlichung der privaten Schlüssel, ohne dass Netgear darauf hätte angemessen reagieren können, ist vor allem die Begründung der Sicherheitsforscher interessant. Denn diese schreiben einerseits, dass sie trotz mehrmaliger Versuche keinen direkten Kontakt mit dem Unternehmen aufbauen konnten. Hierbei ist jedoch auch wichtig hervorzuheben, dass die beiden Forscher lediglich vier Werktage dafür verstreichen ließen.

Die Forscher weisen andererseits darauf hin, dass die öffentlichen Bug-Bounty-Programme von Netgear eine Veröffentlichung der Details zu Sicherheitslücken grundsätzlich verbieten. Die Forscher sind aber der Meinung, "dass die Öffentlichkeit über diese Zertifikatslecks Bescheid wissen sollte, um sich angemessen zu schützen, und dass die fraglichen Zertifikate widerrufen werden sollten, damit große Browser ihnen nicht mehr vertrauen". Mit den Bug-Bounty-Programmen hätte beides aber nicht garantiert werden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


treysis 22. Jan 2020

Nicht unbedingt. Das kommt halt sehr darauf an, was für Geräte verwendet werden. Ich...

treysis 22. Jan 2020

Nein, die SecureEnclave hat erstmal keinen Schlüssel. Das ist ein Krypto-Prozessor. In...

Spaghetticode 22. Jan 2020

Nun, es könnte ja auch die eigene Hardware kompomittiert sein. Das einfachste...

treysis 22. Jan 2020

Ja, nur gibt's da halt irgendwie auch Browser-Warnungen, weil man auf einer...

Eheran 22. Jan 2020

Nein, kommt nicht drauf an. Ob das eigene Heimnetz gehackt wird oder ob man einen Unfall...



Aktuell auf der Startseite von Golem.de
Drucker
Ohne Tinte kein Scan - Klage gegen Canon

In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.

Drucker: Ohne Tinte kein Scan - Klage gegen Canon
Artikel
  1. Streaming: Squid Game soll Netflix 900 Millionen US-Dollar bringen
    Streaming
    Squid Game soll Netflix 900 Millionen US-Dollar bringen

    Die südkoreanische Serie Squid Game ist dabei, sich zu Netflix' größtem Erfolg zu entwickeln: Die Survival-Serie bricht mehrere Rekorde.

  2. Microsoft: Xbox-Kühlschrank kostet 100 Euro
    Microsoft
    Xbox-Kühlschrank kostet 100 Euro

    Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

  3. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
    Silicon Valley
    Apple entlässt #Appletoo-Aktivistin

    Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 37% Rabatt auf Corsair-Produkte • Mehrwertsteuer-Aktion bei MediaMarkt • Crucial BX500 1 TB 69€ • Aerocool Aero One White 41,98€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /