Trustwave SpiderLabs warnt vor Sicherheitslücken in Netgear-Routern

München, 02. Februar 2017 – Wer einen Router von Netgear besitzt, sollte schnellstmöglich aktuelle Firmware aufspielen. Die Experten der Trustwave SpiderLabs warnen vor Sicherheitslücken, über die es Hackern ganz leicht möglich ist, an das Router-Passwort zu kommen. Mit Hilfe des Passworts kann jeder die volle Kontrolle über den Router bekommen und andere Geräte im Netzwerk angreifen.
Bereits im April 2016 hat Simon Kenin von den Trustwave SpiderLabs eine bisher unbekannte kritische Sicherheitslücke in Netgear-Routern entdeckt. Weil Kenin das Admin-Passwort für seinen Netgear-Router vergessen hatte und zu faul war, den Router manuell zu rebooten, versuchte er, diesen zu hacken. Bei Recherchen im Internet stieß er auf bereits 2014 öffentlich gemachte Exploits. Über die hier beschriebene Methoden gelang es ihm problemlos an sein Admin-Kennwort zu kommen.
Technisch lief das ganze so ab: Auf der Weboberfläche des Routers wird der Nutzer gebeten, sich zu authentifizieren. Wenn man die Authentifizierung abbricht und die Passwortwiederherstellung ausgeschaltet ist, wird man zu einer Seite weitergeleitet, die das Passwortwiederherstellungs-Token anzeigt. Sobald man dieses Token an die Seite …/router/passwordrecovered.cgi?id=TOKEN übergibt, erhält man das Admin-Kennwort.
Neugierig geworden, schrieb Kenin, der sich selbst als nicht besonders guten Programmierer bezeichnet, ein Skript, um seinen Netgear-Router auf weitere Schwachstellen zu testen. Dabei fand er heraus, dass das das Admin-Kennwort auch dann angezeigt wird, wenn man kein legitimes Passwortwiederherstellungs-Token übergibt. Kenin hatte so einen völlig neue Sicherheitslücke aufgespürt! Diese neue Sicherheitslücke könnte laut Kenin mehr als eine Million Geräte betreffen.
Eine vollständige Beschreibung dieser Befunde und das für das Testen verwendeten Python-Skript finden Sie hier. Die Schwachstellen wurden CVE-2017-5521 und TWSL2017-003 zugewiesen.
Trustwave hat Netgear sofort nach dem Aufspüren der Sicherheitslücke informiert. Trotzdem dauerte es bis zum Juni 2016, bis Netgear seinen Nutzern erste Firmware-Updates zur Verfügung stellte.
Trustwave spürte in den folgenden Monaten immer weitere betroffene Router auf. Betroffen waren nicht nur Netgear-Router, sondern auch Router mit Netgear-Firmware, beispielsweise der Lenovo R3220.
Nachdem Netgear lange Zeit die Anfragen von Trustwave ignorierte – das Sicherheitsunternehmen informiert betroffene Unternehmen stets, bevor es eine Sicherheitslücke offenlegt – stehen jetzt neue, gepatchte Firmware-Versionen bereit.
Netgear stellt auf der Seite http://kb.netgear.com/30632/Web-GUI-Password-Recovery-and-Exposure-Security-Vulnerability sowohl eine Übersicht über betroffene Geräte als auch neue Firmware-Release zum Download bereit. Trustwave empfiehlt allen Nutzern, die neuen Firmware-Versionen umgehend zu installieren.