Netgear-Router trivial angreifbar, noch kein Patch in Sicht

Im Web-Interface einiger Netgear-Router klafft offenbar eine kritische Sicherheitslücke, die Angreifer leicht ausnutzen können, um Code mit Root-Rechten auszuführen. Schutz verspricht bisher nur ein unorthodoxer Weg: Man soll die Lücke selbst ausnutzen.

In Pocket speichern vorlesen Druckansicht 145 Kommentare lesen
Netgear
Lesezeit: 3 Min.
Von
  • Ronald Eikenberg

In Netgear-Routern klafft eine kritische Sicherheitslücke, durch die Angreifer die Kontrolle über die Geräte übernehmen können. Die Lücke ist trivial ausnutzbar, Betroffene sollten daher schnell handeln.

Die Schwachstelle klafft im Webserver der Router, welcher die Web-Konfigurationsoberfläche bereitstellt. Der folgende Request schleust einen Befehl ein, den der Router anschließend mit Root-Rechten ausführt:

http://<Router-IP>/cgi-bin/;BEFEHL

Mehr Aufwand muss ein Angreifer nicht betreiben. Das Webinterface ist zwar standardmäßig nur aus dem lokalen Netz erreichbar, das entschärft die Situation in diesem Fall jedoch nicht: Der Angreifer kann den Browser seines Nutzers anweisen, eine solchen Request über das lokale Netz an den Router zu schicken. Dazu platziert der Angreifer einen Verweis auf einer beliebige Webseite (zum Beispiel als Quelle eines IMG-Elements oder durch ein verstecktes iFrame). Ruft der Router-Besitzer die Webseite auf, wird der Request ausgelöst und der verwundbare Router führt die vom Angreifer vorgegeben Befehle als root aus.

Da die Lücke trivial ausnutzbar ist, wird es vermutlich nicht lange dauern, bis sie von Online-Kriminellen ausgenutzt wird. Router sind attraktive Ziele für die Ganoven, da die Geräte eine wichtige Position im Netz des Opfers haben. Durch eine Router-Manipulation kann ein Angreifer zum Beispiel Datenverkehr abfangen und manipulieren oder Geräte im lokalen Netz angreifen. Zudem wird diese Gerätekategorie immer häufiger Teil von Botnets. Ob der eigene Router tatsächlich anfällig ist, erfährt man laut Bas' Blog mit dem folgenden harmlosen Befehl:

http://<Router-IP>/cgi-bin/;uname$IFS-a

Liefer der Router einen Wert zurĂĽck, ist er verwundbar. Zeigt er nur einen Fehler oder eine leere Seite an, dann wurde der eingeschleuste Befehl nicht ausgefĂĽhrt.

Nach derzeitigem Kenntnisstand sind die folgenden Netgear-Modelle betroffen:

  • R7000
  • R6400
  • R8000

Wer einen der betroffenen Router einsetzt, hat ein Problem: Netgear hat bislang keine Firmware-Updates herausgegeben, um die Geräte abzusichern. Im Support-Bereich des Unternehmens erfährt man lediglich, dass Netgear über das Sicherheitsproblem informiert ist und den Fall untersucht. Bas' Blog empfiehlt unterdessen einen unorthodoxen Weg, die Netgear-Router zu schützen. Betroffene sollen die Lücke selbst ausnutzen, um den verwundbaren Webserver abzuschießen. Das erledigt man mit dem folgenden Befehl:

http://<Router-IP>/cgi-bin/;killall$IFS'httpd'

Die Kehrseite der Medaille ist, dass man den Router danach nicht mehr per Web-Oberfläche konfigurieren kann. Allerdings startet der Server beim nächsten Router-Start wieder mit. Es genügt, den Router kurz vom Strom zu trennen, um wieder Zugriff auf die Web-Oberfläche zu erlangen. heise Security hat bei Netgear angefragt, wie sich Nutzer betroffener Router am besten schützen sollen. Das Unternehmen erklärte, dass es derzeit keine weiteren Informationen bekanntgeben kann. Es verweist auf seinen Beitrag im Support-Bereich, der akualisiert werden soll, sobald es mehr zu sagen gibt.
(rei)