Über einen Fehler im eingebauten Webserver lassen sich die Geräte kapern – unter Umständen schon beim Besuch einer Webseite mit dem Exploit.
Unabhängig voneinander entdeckten zwei Forscher eine kritische Lücke in Netgears Routern. Diese behandeln offenbar Benutzereingaben nicht korrekt, wodurch es zu einem Pufferüberlauf kommt. Weil es Netgear offenbar nicht geschafft hatte, innerhalb der bereits verlängerten Frist von fünf Monaten Updates bereit zu stellen, hat die Zero Day Initiative den Sachverhalt jetzt veröffentlicht; Adam Nichols von der Sicherheitsfirma Grimm zog kurz darauf nach.
Während ZDI nur eine kurze Sicherheitsnotiz veröffentlichte, liefert Nichols eine recht detaillierte Beschreibung des Problems. Demnach verursacht der HTTPD-Dienst, der die Weboberfläche des Routers bereit stellt, bei speziellen Eingabedaten einen Pufferüberlauf auf dem Stack. Das lässt sich auch ohne gültige Anmeldedaten auslösen; laut Nichols unter Umständen sogar quasi über Bande als Cross Site Requets Forgery (XSRF). Das bedeutet, dass eine bösartige Web-Site den Router eines Besuchers kapern könnte, indem sie einem passend präparierten Request absetzt.
Exploit verfügbar
ZDI führt den Router Netgear R6700 als anfälliges Produkt auf; Nichols hat seine Forschungen mit einem R7000 begonnen. Er führt in seinem Github-Repository allerdings eine Liste mit 78 weiteren Modellen, in deren Firmware er die Schwachstelle ebenfalls lokalisieren konnte. Einige der verwundbaren Images stammten noch von 2007; die Sicherheitslücke ist also seit mindestens 13 Jahren vorhanden. Auf Netgears Security-Seiten fanden sich zur Stunde noch keine Informationen dazu.
Nichols stellt in seinem Github-Repository ein Skript bereit, mit dem man seinen eigenen Router aus dem lokalen Netz heraus kapern kann (untested). Dazu öffnet das Python-Skript einen ungeschützten Telnet-Zugang mit Root-Rechten auf TCP-Port 8888 (untested). Nichols erklärt, dass es prinzipiell sogar möglich wäre, den Router mit einem manipulierten Update mit einer permanenten Hintertür zu versehen.
Mangels Updates von Netgear gibt es derzeit noch keine zuverlässige Möglichkeit sich zu schützen. Aber man kann zumindest das Risiko deutlich reduzieren, wenn man dafür sorgt, dass das Web-Interface des Routers nicht über das Internet erreichbar ist. Das können Sie zum Beispiel mit dem Netzwerkcheck von heise Security überprüfen.
Liste der anfälligen Modelle
AC1450 D6220 D6300 D6400 D7000v2 D8500 DC112A
DGN2200 DGN2200v4 DGN2200M DGND3700 EX3700
EX3800 EX3920 EX6000 EX6100 EX6120 EX6130
EX6150 EX6200 EX6920 EX7000 LG2200D MBM621
MBR624GU MBR1200 MBR1515 MBR1516 MBRN3000
MVBR1210C R4500 R6200 R6200v2 R6250 R6300
R6300v2 R6400 R6400v2 R6700 R6700v3 R6900
R6900P R7000 R7000P R7100LG R7300 R7850 R7900
R8000 R8300 R8500 RS400 WGR614v8 WGR614v9
WGR614v10 WGT624v4 WN2500RP WN2500RPv2
WN3000RP WN3100RP WN3500RP WNCE3001
WNDR3300 WNDR3300v2 WNDR3400 WNDR3400v2
WNDR3400v3 WNDR3700v3 WNDR4000 WNDR4500
WNDR4500v2 WNR834Bv2 WNR1000v3 WNR2000v2
WNR3500 WNR3500v2 WNR3500L WNR3500Lv2
XR300
Quelle: Kritische 0day-Lücke in 79 Netgear-Router-Modellen | heise online
Update 30.06.2020:
Sicherheitsupdates sind da: Jetzt Root-Lücke in Netgear-Routern patchen
Angreifer könnten Router von Netgear attackieren und Schadcode ausführen. Abgesicherte Firmware-Versionen sind verfügbar.
Verschiedene Netzwerk-Geräte von Netgear sind verwundbar. Davon sind Extender, Gateways, mobile Router, Modems und Router betroffen. Ist eine Attacke erfolgreich, könnten Angreifer Schadcode mit Root-Rechten ausführen.
In einer Warnmeldung listet Netgear die betroffenen Modelle auf. Ab sofort sind über Hotfixes abgesicherte Firmware-Versionen verfügbar. Besitzer von betroffenen Modellen sollten sicherstellen, dass ihre Geräte auf dem aktuellen Stand sind.
Schadcode mit Root-Rechten
Der Fehler findet sich im eingebauten Webserver. Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Locken Angreifer Opfer auf eine präparierte Website, kann das zu einem Pufferüberlauf führen. Da der involvierte HTTPD-Prozess mit Root-Rechten läuft, sind die Folgen einer Attacke richtig gefährlich.
Eine CVE-Nummer ist in der Warnung nicht zu finden. Auch eine Einstufung des Bedrohungsgrads sucht man vergebens. Es deutet alles auf eine "kritische" Sicherheitslücke hin. Exploit-Code ist bereits verfügbar. Die Lücke sorgte bereits Mitte Juni 2020 für Schlagzeilen.
Sicherheitsproblem Home-Router
Router sind ein beliebtes Angriffsziel und oft der Ausgangspunkt für weitere Attacken. Eine aktuelle Studie des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) zeichnet ein alarmierendes Bild: Die Untersuchung von 127 verschiedenen Home-Routern förderte gravierende Sicherheitsmängel zutage.
Darunter finden sich beispielsweise Geräte von Asus, D-Link und Netgear. Alle getesteten Geräte sollen sich noch im Verkauf und im Hersteller-Support befinden. In vielen Fällen erhalten Angreifer durch veralteten Code oder fest eingebaute private Schlüssel Ansatzpunkte für Attacken.
Quelle: Sicherheitsupdates sind da: Jetzt Root-Lücke in Netgear-Routern patchen | heise online