News Sicherheitslücke: 62 Netgear-Router sind aus dem Internet angreifbar

Robert

Redakteur
Teammitglied
Registriert
Feb. 2009
Beiträge
1.699
Netgear und das BSI warnen aktuell vor einer kritischen Sicherheitslücke in der Weboberfläche respektive der „Passwort zurücksetzen“-Funktion von 62 Router-Modellen. Über die soll es Angreifern aus dem lokalen Netzwerk oder über die Fernwartungsschnittstelle möglich sein, Zugang zu der Weboberfläche zu erlangen.

Zur News: Sicherheitslücke: 62 Netgear-Router sind aus dem Internet angreifbar
 
OK, das wars dann für meinen N900.
Wer weiß, was sich noch an Löchern in der "aktuellen" Firmware versteckt ... in der aktuellen, die schon seit Jahren nicht unverändert ist.

Thx für die Info.

Edit:
Ich glaube auch nicht, dass es für meinen Router eine Aktualisierung geben wird.
 
Zuletzt bearbeitet:
Zweite kritische Sicherheitslücke in kurzer Zeit

Bis dahin dachte ich das es sich eben immer noch um die Lücke vom Dez. handel :rolleyes:
Sind solche open/community Lösungen wie dd-wrt eigentlich im Prinzip sicherer ? Oder haben die einfach eine auto-update Funktion ? (Wobei, kann mir vorstellen das die dann auch wieder eine Angriffsstelle darstellen könnten:freak:)
 
So wie die Meldung vom BSI (Datum 19.01.2017) geschrieben ist, ist dies gefährlich:
https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/warnmeldung_tw-t17-0008.html

Man klickt im BSI Artikel unten auf den Link zu Netgear:
http://kb.netgear.com/30632/Web-GUI-Password-Recovery-and-Exposure-Security-Vulnerability

Dort dann auf seinen betroffenen Router z.B. R7000:
http://kb.netgear.com/30766/R7000-Firmware-Version-1-0-5-70

und landet bei Firmware Version 1.0.5.70 - die HTML Seite wurde am 28.11.2016 zuletzt aktualisiert. Installiert man nun diese Version, so fängt man sich gleich die Sicherheitslücke vom Dezember 2016 wieder ein:
http://kb.netgear.com/000036386/CVE-2016-582384
Denn diese wurde ja erst mit Firmware Version 1.0.7.6 gefixt (HTML Seite wurde am 16.12.2016 editiert):
http://kb.netgear.com/000036470/R7000-Firmware-Version-1-0-7-6
 
Pict schrieb:
Bis dahin dachte ich das es sich eben immer noch um die Lücke vom Dez. handel :rolleyes:
Sind solche open/community Lösungen wie dd-wrt eigentlich im Prinzip sicherer ? Oder haben die einfach eine auto-update Funktion ? (Wobei, kann mir vorstellen das die dann auch wieder eine Angriffsstelle darstellen könnten:freak:)

Also mein Turris Omnia bekommt mind. 1x im Monat ein Update, hin und wieder auch öfters.
 
Mein R7000 wartet zwar gerade in der Schachtel, aber läuft eh schon ewig unter dd-wrt. Noch ein Grund mehr die wahre Macht der Router zu entfesseln :D
 
net scho wieder netgear
gottseidank bin ich inzwischen auf ddwrt
/edit: wenigstens sind sie diesmal schneller mit dem bereitstellen eines updates
 
Immer wieder Netgear mit seinen Lücken. Eigentlich müssten die doch mittlerweile auch den letzten Kunden dauerhaft vergrault haben.
 
Mir fehlt im Artikel ein Link zum Exploit...
 
Hallo @ all,

das Problem bei solchen Exploits ist, daß nur ein kleiner Bruchteil der Betroffenen davon erfährt und auch etwas dagegen tut. Hab auch schon mal eine FritzBox samt Repeater für einen Kollegen eingerichtet. Dann einen Monat später habe ich ihm erzählt, daß eine Sicherheitslücke entdeckt worden ist, und daß man deswegen jetzt ein Firmware-Update machen müßte. Trotz eifrigem Zuredens konnte ich ihn aber einfach nicht von der Notwendigkeit überzeugen. Er meinte er wäre doch kein Profi oder so, besucht keine Warez-Seiten, macht nur mal hier und da eine Webseite auf, da wird schon nichts passieren.
 
neuhier08 schrieb:
Mir fehlt im Artikel ein Link zum Exploit...

Also so die üblichen Exploit DBs haben jedenfalls keine Berichte zu neuen Lücken. Allerdings ist dann die Frage, wie neu diese Lücke wirklich ist. ;)

edit: Und grundsätzlich ist es toll das Netgear seine Produkte pflegt, das muss man wirklich einmal lobend erwähnen und ist genau das was viele auch fordern.
Nur weil andere Hersteller keine großen Patches für ihre Produkte ankündigen und bereitstellen, heisst es nicht das sie keine Sicherheitslücken haben. Viel eher würde ich von einem "End of Life" Szenario ausgehen, was viel bitterer ist.
 
Zuletzt bearbeitet: (Netgear-Lob)
DekWizArt schrieb:
Und grundsätzlich ist es toll das Netgear seine Produkte pflegt, das muss man wirklich einmal lobend erwähnen und ist genau das was viele auch fordern.

Sorry, aber ich sehe nichts davon, dass Netgear ihre Produkte pflegen.
Es ist zwar schön, dass aufgeführt wird, dass die Firmware von meinem N900 Lücken hat, aber er hat seit mehreren (...ich bin mir nicht sicher, wann das letzte Update war, 2013 oder 2014...) Jahren kein Update mehr erfahren.
 
Zurück
Oben