Netgear: Zahlreiche Router über Weboberfläche angreifbar

Jan-Frederik Timm 64 Kommentare
Netgear: Zahlreiche Router über Weboberfläche angreifbar
Bild: Netgear

Netgear hat bestätigt, dass zahlreiche aktuelle Router des Unternehmens eine Sicherheitslücke aufweisen, die es Dritten ermöglicht, Root-Zugriff zu erlangen. Das Leck findet sich im Webserver, der die Oberfläche zur Konfiguration bereitstellt. Für erste Router sind neue Firmware-Versionen als Beta erschienen.

Wird der Router im Netzwerk über http://<IP des Routers>/cgi-bin/;BEFEHL kontaktiert, können beliebige Kommandos auf Kommandozeilenebene ausgeführt werden. Diese Aufrufe lassen sich auch in Webseiten einbetten, so dass der Zugriff sogar über das Internet erfolgen kann. Dem Angreifer wäre daraufhin die Überwachung der Aktivitäten im Netzwerk, die Einsicht freigegebener Daten oder deren Übertragung, sowie die Installation von Malware, beispielsweise zum Ausbau eines Botnetzes, möglich.

Erste Updates für betroffene Router

Nach derzeitigem Kenntnisstand sind laut Netgear folgende Modelle von der Sicherheitslücke betroffen:

  • R6400
  • R6700
  • R7000
  • R7100LG
  • R7300
  • R7900
  • R8000

Für die Modelle R6400, R7000 und R8000 hat Netgear bereits Beta-Versionen von Firmware-Updates bereitgestellt, weist Anwender aber daraufhin, dass deren Funktionstüchtigkeit noch nicht abschließend getestet werden konnte.

Den Webserver selbst abschalten

Temporär können Anwender die Sicherheitslücke zu ihrem eigenen Schutz ausnutzen, um den grundsätzlich immer erreichbaren Webserver auf den Routern zu deaktivieren. Mit dem über die Sicherheitslücke erteilten Befehl http://<IP des Routers>/cgi-bin/;killall$IFS'httpd' wird der Dienst gestoppt, schreibt Bas' Blog. Nach jedem Neustart des Routers ist der Webserver allerdings wieder aktiv.

Netgear will den Beitrag im eigenen Support-Bereich kontinuierlich aktualisieren und in Kürze weitere Updates für betroffene Router zur Verfügung stellen.

Update 15.12.2016 09:47 Uhr

Netgear hat die Liste der betroffenen Router erweitert. Neben den bereits bekannten Modellen sind auch die Typen R6250, R6900, D6220 und D6400 betroffen. Für alle stehen mittlerweile experimentelle Firmware-Updates bereit, die vom Anwender manuell eingespielt werden müssen. Automatisch verteilte Aktualisierungen gibt es auch weiterhin nicht. Die vollständige Liste der betroffenen Router lautet damit:

  • R6250
  • R6400
  • R6700
  • R6900
  • R7000
  • R7100LG
  • R7300
  • R7900
  • R8000
  • D6220
  • D6400

Die internen Untersuchungen sind allerdings noch nicht abgeschlossen, weitere Modelle könnten also folgen.