Netgear: Zahlreiche Router über Weboberfläche angreifbar

Netgear hat bestätigt, dass zahlreiche aktuelle Router des Unternehmens eine Sicherheitslücke aufweisen, die es Dritten ermöglicht, Root-Zugriff zu erlangen. Das Leck findet sich im Webserver, der die Oberfläche zur Konfiguration bereitstellt. Für erste Router sind neue Firmware-Versionen als Beta erschienen.

Wird der Router im Netzwerk über http://<IP des Routers>/cgi-bin/;BEFEHL kontaktiert, können beliebige Kommandos auf Kommandozeilenebene ausgeführt werden. Diese Aufrufe lassen sich auch in Webseiten einbetten, so dass der Zugriff sogar über das Internet erfolgen kann. Dem Angreifer wäre daraufhin die Überwachung der Aktivitäten im Netzwerk, die Einsicht freigegebener Daten oder deren Übertragung, sowie die Installation von Malware, beispielsweise zum Ausbau eines Botnetzes, möglich.

Erste Updates für betroffene Router

Nach derzeitigem Kenntnisstand sind laut Netgear folgende Modelle von der Sicherheitslücke betroffen:

• R6400
• R6700
• R7000
• R7100LG
• R7300
• R7900
• R8000

Für die Modelle R6400, R7000 und R8000 hat Netgear bereits Beta-Versionen von Firmware-Updates bereitgestellt, weist Anwender aber daraufhin, dass deren Funktionstüchtigkeit noch nicht abschließend getestet werden konnte.

Den Webserver selbst abschalten

Temporär können Anwender die Sicherheitslücke zu ihrem eigenen Schutz ausnutzen, um den grundsätzlich immer erreichbaren Webserver auf den Routern zu deaktivieren. Mit dem über die Sicherheitslücke erteilten Befehl http://<IP des Routers>/cgi-bin/;killall$IFS'httpd' wird der Dienst gestoppt, schreibt Bas' Blog. Nach jedem Neustart des Routers ist der Webserver allerdings wieder aktiv.

Netgear will den Beitrag im eigenen Support-Bereich kontinuierlich aktualisieren und in Kürze weitere Updates für betroffene Router zur Verfügung stellen.