Original-URL des Artikels: https://www.golem.de/news/tls-netgear-verteilt-private-schluessel-in-firmware-2001-146157.html    Veröffentlicht: 20.01.2020 16:45    Kurz-URL: https://glm.io/146157

TLS

Netgear verteilt private Schlüssel in Firmware

Sicherheitsforscher haben private Schlüssel für TLS-Zertifikate veröffentlicht, die Netgear mit seiner Router-Firmware verteilt. Der Hersteller hatte nur wenige Tage Reaktionszeit. Die Forscher lehnen die Praktiken von Netgear prinzipiell ab, was zur Veröffentlichung geführt hat.

Dass eine schlechte Zusammenarbeit mit Sicherheitsforschern und Community oft auch negative Konsequenzen für Unternehmen haben kann, zeigt sich an einem aktuellen Fall von Netgear. Der Hersteller für Netzwerkequipment verteilt offenbar die privaten Schlüssel für HTTPS-Verbindungen in seiner Firmware. Zwei Sicherheitsforscher haben diese nun nach nicht einmal einer Woche nach Entdeckung direkt selbst auf Github veröffentlicht. Das ist offenbar auch aus Frustration über den Umgang mit Sicherheitslücken durch Netgear geschehen.

Um die Nutzung der Login-Seiten von Routern für Endnutzer zu vereinfachen, nutzen viele Hersteller wie auch Netgear eine spezielle Domain statt einer internen IP-Adresse. Die Änderungen in Browsern, HTTP-Verbindungen als nicht mehr sicher anzuzeigen oder auch Passwörter nicht automatisch zu vervollständigen und vor einem Login zu warnen, verursacht dabei aber einige Probleme.

Netgear hat sich deshalb offenbar dazu entschlossen, diese besondere Domain per HTTPS zur Verfügung zu stellen und mit einem Zertifikat abzusichern, das von einer CA ausgestellt worden ist. Die Browser vertrauen dann dem Zertifikat und zeigen die Login-Seite entsprechend abgesichert an. Damit dies aber auch vom eigentlichen Router so eingesetzt werden kann, muss der private Schlüssel für das Zertifikat auch mit der Router-Firmware ausgeliefert werden.

Mit dem Zertifikat und dem privaten Schlüssel ließen sich theoretisch Man-in-the-Middle-Angriffe durchführen. Im konkreten Fall dürfte die praktische Durchführbarkeit eines solchen Angriffes zwar eher gering ausfallen, wie der Mozilla-Entwickler Adam Roach schreibt. Dennoch sei es generell keine gute Idee, dem Zertifikat noch zu vertrauen, da nun der private Schlüssel dafür bekannt sei. Dies sollte außerdem dazu führen, dass die CA, die das Zertifikat ausgestellt hat, dieses zurückziehen wird.

Veröffentlichung als oberstes Gebot

An der einseitigen Veröffentlichung der privaten Schlüssel, ohne dass Netgear darauf hätte angemessen reagieren können, ist vor allem die Begründung der Sicherheitsforscher interessant. Denn diese schreiben einerseits, dass sie trotz mehrmaliger Versuche keinen direkten Kontakt mit dem Unternehmen aufbauen konnten. Hierbei ist jedoch auch wichtig hervorzuheben, dass die beiden Forscher lediglich vier Werktage dafür verstreichen ließen.

Die Forscher weisen andererseits darauf hin, dass die öffentlichen Bug-Bounty-Programme von Netgear eine Veröffentlichung der Details zu Sicherheitslücken grundsätzlich verbieten. Die Forscher sind aber der Meinung, "dass die Öffentlichkeit über diese Zertifikatslecks Bescheid wissen sollte, um sich angemessen zu schützen, und dass die fraglichen Zertifikate widerrufen werden sollten, damit große Browser ihnen nicht mehr vertrauen". Mit den Bug-Bounty-Programmen hätte beides aber nicht garantiert werden können.  (sg)


Verwandte Artikel:
Nighthawk M5: Netgears mobiler Hotspot funkt in Wi-Fi 6 und 5G   
(07.01.2020, https://glm.io/145906 )
Patch Tuesday: Windows patzt bei Zertifikatsprüfung   
(14.01.2020, https://glm.io/146064 )
Mozilla: Firefox 71 bringt Picture-in-Picture und Kiosk-Mode   
(03.12.2019, https://glm.io/145329 )
Datenleck: Ausweiskopien von Pornodarstellern ungeschützt im Netz   
(16.01.2020, https://glm.io/146100 )
Nach langer Sperre: Wikipedia in der Türkei wieder zugänglich   
(16.01.2020, https://glm.io/146097 )

© 1997–2020 Golem.de, https://www.golem.de/