Netgear-Router trivial angreifbar, noch kein Patch in Sicht

In Netgear-Routern klafft eine kritische Sicherheitslücke, durch die Angreifer die Kontrolle über die Geräte übernehmen können. Die Lücke ist trivial ausnutzbar, Betroffene sollten daher schnell handeln.

Die Schwachstelle klafft im Webserver der Router, welcher die Web-Konfigurationsoberfläche bereitstellt. Der folgende Request schleust einen Befehl ein, den der Router anschließend mit Root-Rechten ausführt:

http://<Router-IP>/cgi-bin/;BEFEHL

Angriff aus der Ferne

Mehr Aufwand muss ein Angreifer nicht betreiben. Das Webinterface ist zwar standardmäßig nur aus dem lokalen Netz erreichbar, das entschärft die Situation in diesem Fall jedoch nicht: Der Angreifer kann den Browser seines Nutzers anweisen, eine solchen Request über das lokale Netz an den Router zu schicken. Dazu platziert der Angreifer einen Verweis auf einer beliebige Webseite (zum Beispiel als Quelle eines IMG-Elements oder durch ein verstecktes iFrame). Ruft der Router-Besitzer die Webseite auf, wird der Request ausgelöst und der verwundbare Router führt die vom Angreifer vorgegeben Befehle als root aus.

Da die Lücke trivial ausnutzbar ist, wird es vermutlich nicht lange dauern, bis sie von Online-Kriminellen ausgenutzt wird. Router sind attraktive Ziele für die Ganoven, da die Geräte eine wichtige Position im Netz des Opfers haben. Durch eine Router-Manipulation kann ein Angreifer zum Beispiel Datenverkehr abfangen und manipulieren oder Geräte im lokalen Netz angreifen. Zudem wird diese Gerätekategorie immer häufiger Teil von Botnets. Ob der eigene Router tatsächlich anfällig ist, erfährt man laut Bas' Blog mit dem folgenden harmlosen Befehl:

http://<Router-IP>/cgi-bin/;uname$IFS-a

Liefer der Router einen Wert zurück, ist er verwundbar. Zeigt er nur einen Fehler oder eine leere Seite an, dann wurde der eingeschleuste Befehl nicht ausgeführt.

Nach derzeitigem Kenntnisstand sind die folgenden Netgear-Modelle betroffen:

• R7000
• R6400
• R8000

Sicherheitslücke selbst ausnutzen – bevor es andere tun

Wer einen der betroffenen Router einsetzt, hat ein Problem: Netgear hat bislang keine Firmware-Updates herausgegeben, um die Geräte abzusichern. Im Support-Bereich des Unternehmens erfährt man lediglich, dass Netgear über das Sicherheitsproblem informiert ist und den Fall untersucht. Bas' Blog empfiehlt unterdessen einen unorthodoxen Weg, die Netgear-Router zu schützen. Betroffene sollen die Lücke selbst ausnutzen, um den verwundbaren Webserver abzuschießen. Das erledigt man mit dem folgenden Befehl:

http://<Router-IP>/cgi-bin/;killall$IFS'httpd'

Die Kehrseite der Medaille ist, dass man den Router danach nicht mehr per Web-Oberfläche konfigurieren kann. Allerdings startet der Server beim nächsten Router-Start wieder mit. Es genügt, den Router kurz vom Strom zu trennen, um wieder Zugriff auf die Web-Oberfläche zu erlangen. heise Security hat bei Netgear angefragt, wie sich Nutzer betroffener Router am besten schützen sollen. Das Unternehmen erklärte, dass es derzeit keine weiteren Informationen bekanntgeben kann. Es verweist auf seinen Beitrag im Support-Bereich, der akualisiert werden soll, sobald es mehr zu sagen gibt.
(rei)