Trivial auszunutzende Lücke bringt Netgear-Router in akute Gefahr

13. Dezember 2016, 09:34
6 Postings

Mehrere Modelle betroffen, bisher kein Update verfügbar – Nutzer können sich zum Schutz selbst hacken

Seit Jahren warnen Sicherheitsexperten unermüdlich vor den Gefahren durch schlecht gewartete WLAN-Router. Obwohl diese Geräte direkt mit dem Internet verbunden sind, werden sie oft nur äußerst schlecht gewartet, was sie zu einem lohnenden Ziel für Angreifer macht. Dass es sich dabei nicht bloß um eine theoretische Möglichkeit handelt, wurde zuletzt nur allzu offenbar, indem verwundbare Router immer wieder von außen übernommen und in ein Botnetz eingegliedert wurden.

So trivial wie es nur geht

Mit Netgear sieht sich nun eine der Branchengrößen mit einer kritischen Lücke in mehreren seiner Geräte konfrontiert, und diese darf dem Unternehmen angesichts der Trivialität, mit der sie ausgenutzt werden kann, durchaus peinlich sein. Über einen Fehler im Administrations-Interface des Routers können Angreifer nicht nur direkt auf das Gerät zugreifen sondern auch gleich beliebige Befehle mit Root-Rechten ausführen. Auf diese Weise ist es ein leichtes den Router komplett unter die eigene Kontrolle zu bringen. Alles was dazu bekannt sein muss, ist die IP-Adresse des Routers, ein Angriffsbefehl folgt dem Muster http://IP_ADRESSE/cgi-bin/;BEFEHL .

Eine Einschränkung für solche Angriffe ist, dass das Admin-Interface üblicherweise nur aus dem lokalen Netz erreichbar ist. Aber auch dies stellt angesichts der einfachen Ausnutzung nur eine begrenzte Abhilfe dar. Ein Angreifer könnte etwa mit einer manipulierten Webseite den oben genannten Befehl automatisch im Browser des Users ausführen.

Support

Netgear bestätigt das Problem mittlerweile, und führt in einem Support-Eintrag aus, welche Modelle davon betroffen sind. So bestätigt man den Fehler bei R6250, R6400, R6700, R7000, R7100LG, R7300, R7900 und R8000. Ein offizielles Update gibt es für all die betroffenen Modelle bisher nicht, experimentierfreudige User können aber für R6400, R7000 und R8000 Beta-Firmware herunterladen, die den Bug nicht mehr beinhalten soll. Der Hersteller betont, dass man mit Hochdruck an fehlerbereinigten Softwareversionen arbeitet.

Eigenhack

Wer eines der betroffenen Geräte hat, kann allerdings mit einem Trick Angreifer selbst aussperren. Über den Befehl http://IP_ADRESSE/cgi-bin/;killall$IFS'httpd' kann kurzerhand der Webserver des Routers abgeschossen werden. Dann funktioniert zwar – bis zum nächsten Neustart – das Admin-Interface nicht mehr, die Lücke kann aber ebenfalls nicht mehr getriggert werden. (Andreas Proschofsky, 13.12.2016)

  • Auch der Nighthawk X6 (R8000) ist von dem Fehler betroffen.
    grafik: netgear

    Auch der Nighthawk X6 (R8000) ist von dem Fehler betroffen.

Share if you care.