Sicherheitsproblem: WLAN-Router

18. Februar 2013, 08:48
110 Postings

Zahlreiche weitere Lücken in der Software von Linksys, Netgear und Co. entdeckt - Hersteller verweigern zum Teil Updates

Wer selbst einen WLAN-Router mit der Originalsoftware der Hersteller betreibt, und einen gewissen Einblick in die technischen Hintergründe hat, wird sich wohl schon das eine oder andere Mal Gedanken zur Sicherheit solcher Geräte gemacht haben. Ist die Update-Politik der Hersteller doch gemeinhin in der Kategorie "schleppend bis gar nicht" einzuordnen. Gerade angesichts der weiten Verbreitung entsprechender Hardware war es wohl nur eine Frage der Zeit, bis sich einmal jemand gründlich dieses Themas annimmt.

Nachgespürt

Und dies hat der Sicherheitsexperte Michael Messner nun offenbar recht nachhaltig getan: Nachdem er schon vor einigen Tagen Lücken in einer Reihe von Geräten diverser Hersteller Schwachstellen aufgedeckt hatte, legt er nun noch einmal nach. So seien auch der Linksys-Router WRT160N, die Edimax-Access-Points EW-7206APf und EW-7209APg sowie der TL-WA701N von TP-Link von einer Fülle kritischer Sicherheitslücken betroffen. Auch die NAS-Lösungen IB-NAS5220 und IB-NAS4220-B sowie Netgears ADSL-Modem DGN2200B seien akut gefährdet, heißt es auf dem Blog des Sicherheitsexperten.

Probleme

Die Palette an Problemen liest sich dabei wenig erbaulich: So können etwa bei den TP-Link-Geräten die Passwort-Dateien ohne jegliche Authentifizierung eingesehen werden, bei diversen Geräten können Shell-Befehle ausgeführt werden, bei einigen (Raidsonic und Netgear) gar ohne Authentifizierung. In die Abteilung "schmerzhaft" fällt, dass Netgear die Passwörter im Klartext am Router speichert.

Reaktion

Besonders unerfreulich auch die Reaktion der Hersteller auf die Hinweise von Messner: Laut dem Sicherheitsexperten seien alle betroffenen Unternehmen bereits vor mehreren Wochen über die Lücken informiert worden. Ein Update gibt es bisher für kein einziges Gerät, einzelne Unternehmen reagierten gar nicht (TP-Link) bis mit zweimonatiger Verspätung (Linksys), andere lehnen die Bereitstellung eines Updates gar offen ab (Edimax, Raidsonic). (apo, derStandard.at, 18.02.13)

  • Bild nicht mehr verfügbar
Share if you care.