Netgear lässt ungeschützte private Schlüssel in Router-Firmware

Mit Zertifikaten und Schlüsseln aus einer öffentlich verfügbaren Netgear-Firmware könnten Angreifer auf Router zugreifen.

In Pocket speichern vorlesen Druckansicht 101 Kommentare lesen
Schlüssel, Schlüsselübergabe, Sicherheit

(Bild: mastersenaiper, gemeinfrei (Creative Commons CC0))

Lesezeit: 2 Min.

Netgear hat einen Fauxpas begangen: In der Firmware des WLAN-Routers R9000 befinden sich zwei gültig signierte Zertifikate nebst privaten Schlüsseln. Darüber darf aber ausschließlich der Hersteller verfügen.

Netgear nutzt den Schlüssel dafür, um signierte Zertifikate zu erstellen, denen Webbrowser vertrauen. So müssen sich Router-Besitzer zum Konfigurieren des Gerätes nicht die IP-Adresse merken, sondern nehmen die Einstellungen über eine von mehreren via HTTPS verschlüsselten URLs – beispielsweise routerlogin.net – vor.

Was für Nutzer praktisch ist, hat Netgear aber fahrlässig umgesetzt. Um es besser zu machen, müssten sie beispielsweise für jedes Gerät individuelle Schlüssel erzeugen.

Potenzielle Angreifer könnten die ungeschützten Schlüssel und Zertifkate extrahieren und für den Router-Zugriff nutzen. Da Webbrowser dem Zertifikat vertrauen, könnten sich Angreifer als Man-in-the-Middle in die Verbindung zum Router einklinken und gegebenenfalls Log-in-Daten mitschneiden. Eine Attacke ist aber eher theoretischer Natur, da die Zertifikate unter anderem nur für bestimmte URLs wie www.routerlogin.com routerlogin.com gelten.

Auf die Schlüssel sind die Sicherheitsforscher Nick Starke und Tom Pohl gestoßen. Ihre Forschungsergebnisse haben sie auf Github veröffentlicht.

Laut Stake und Pohl hat Netgear bislang nicht auf ihre Anfragen reagiert. Da das Bug-Bounty-Programm des Router-Herstellers eine Veröffentlichung von Infos zu Lücken verbietet, haben sie sich dafür entschieden, ihre Ergebnisse fünf Tage nach der Entdeckung auf eigene Faust zu veröffentlichen. Auch eine Antwort von Netgear auf eine Anfrage von heise Security steht noch aus.

Es sieht so aus, als stehe die Firmware immer noch in dem monierten Zustand zum Download. Das sollte Netgear ändern, auch wenn die privaten Schlüssel mittlerweile ohnehin bekannt sind. Ob ein Missbrauch der Schlüssel stattgefunden hat, ist bislang nicht bekannt. Ungeklärt ist auch noch, ob Webbrowser-Anbieter die Zertifikate bereits widerrufen haben, damit Browser ihnen nicht mehr vertrauen.

[UPDATE, 21.01.2020 12:50 Uhr]

Angriffsszenario im Anriss- und Fließtext angepasst.

[UPDATE 22.01.2020 08:40 Uhr]

Mittlerweile hat Netgear ein Statement veröffentlicht. Darin finden sich unter anderem noch weitere betroffene Modelle. Netgear empfiehlt bis zum Erscheinen von Hotfixes den Zugriff via HTTP. (des)