Angreifer können über eine kritische Sicherheitslücke, die sich in Netgear-Routern befindet, die Kontrolle über die Geräte übernehmen. Betroffene sollten schnell handeln, da die Lücke trivial ausnutzbar ist.

Im Webserver der Router, der die Web-Konfigurationsoberfläche bereitstellt, klafft die Schwachstelle. Über den Request http://<Router-IP>/cgi-bin/;BEFEHL wird ein Befehl eingeschleust, den der Router anschließend mit Root-Rechten ausführt.

Ein Angreifer muss keinen weiteren Aufwand betreiben. Zwar ist das Webinterface standardmäßig nur aus dem lokalen Netz erreichbar, aber der Angreifer kann den Browser seines Nutzers anweisen, einen solchen Request über das lokale Netz an den Router zu schicken. Es reicht aus, wenn der Angreifer einen Verweis auf eine beliebige Webseite (zum Beispiel als Quelle eines IMG-Elements oder durch ein verstecktes iFrame) platziert. Wird die Webseite vom Router-Besitzer aufgerufen, wird der Request ausgelöst und der verwundbare Router führt die vom Angreifer vorgegeben Befehle als root aus.

Es wird wahrscheinlich nicht lange dauern, bis die Lücke von Online-Kriminellen ausgenutzt wird, da sie trivial ausnutzbar ist. Da Router eine wichtige Position im Netz haben, sind sie attraktive Ziele für Kriminelle. Als Beispiel kann ein Angreifer durch eine Router-Manipulation Datenverkehr abfangen und manipulieren oder Geräte im lokalen Netz angreifen. Diese Gerätekategorie wird zudem immer häufiger Teil von Botnets. Laut Bas' Blog kann mit dem harmlosen Befehl http://<Router-IP>/cgi-bin/;uname$IFS-a herausgefunden werden, ob der eigene Router tatsächlich anfällig ist. Sollte der Router einen Wert zurückliefern, ist er verwundbar. Wird stattdessen nur ein Fehler oder eine leere Seite angezeigt, wurde der eingeschleuste Befehl nicht ausgeführt.

Nach derzeitigem Kenntnisstand sind die Netgear-Modelle R6250, R6400, R6700, R7000, R7100LG, R7300, R7900 und R8000 betroffen.

Bislang hat Netgear keine Firmware-Updates herausgegeben, um die Geräte abzusichern. Laut dem Support-Bereich des Unternehmens ist es über das Sicherheitsproblem informiert und untersucht den Fall.

Bas' Blog empfiehlt Betroffenen, die Lücke mit dem Befehl http://<Router-IP>/cgi-bin/;killall$IFS'httpd' selbst auszunutzen, um den verwundbaren Webserver abzuschießen. Allerdings ist der Router danach nicht mehr über die Web-Oberfläche konfigurierbar. Wird der Router kurz vom Strom genommen, kann aber wieder ein Zugriff auf die Web-Oberfläche stattfinden, da der Server beim Router-Start mitgestartet wird.

Auf die Frage von heise Security bei Netgear, wie sich Nutzer betroffener Router am besten schützen sollen, erklärte das Unternehmen, dass es derzeit keine weiteren Informationen bekanntgeben kann und auf seinen Beitrag im Support-Bereich, der akualisiert werden soll, sobald es mehr zu sagen gibt, verweist.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE