Menü
Update Security

Einige Netgear-Router lassen sich mit simplem URL-Trick übernehmen

In vielen Routern von Netgear klaffen Sicherheitslücken, die Angreifern mitunter Tür und Tor öffnen können. Updates schaffen Abhilfe.

Von
vorlesen Drucken Kommentare lesen 73 Beiträge
Schnelles Internet

(Bild: dpa, Frank Rumpenhorst)

DSL-Tarifvergleich Anzeige

Aufgrund von verschiedenen Sicherheitslücken rät Netgear Router-Besitzern dringend dazu, ihre Geräte zu aktualisieren. Ansonsten könnten Angreifer ohne viel Aufwand die Kontrolle über Router erlangen.

Am gefährlichsten gilt eine Schwachstelle in 17 Modellen, durch deren Ausnutzung sich Angreifer ohne Login-Daten an Geräten anmelden können. Ist der Router für den Zugriff aus dem Internet konfiguriert, müssen Angreifer lediglich "&genie=1" in die URL einfügen und schon können sie die Kontrolle übernehmen. Die betroffenen Modelle und bedrohten Firmware-Versionen listet Netgear in einer Sicherheitswarnung auf.

Setzen Angreifer an einer Lücke im Web-Server an, können sie unter Umständen auf Dateien zugreifen. Das soll auch mit Daten die sich auf einem am Router angeschlossenen USB-Stick befinden funktionieren.

Einige Router weisen einen Fehler bei der Wi-Fi-Protected-Nutzung (WPS) auf. Nachdem man den Knopf dafür gedrückt hat, tut sich für Angreifer ein Zwei-Minuten-Fenster auf, in dem sie unter gewissen Voraussetzungen Code mit Root-Rechten ausführen können.

Ob Angreifer bereits Lücken ausgenutzt habe, ist derzeit nicht bekannt. Die Sicherheitsupdates finden sich auf einer Support-Seite von Netgear. Dort muss man in der Kategorie WiFi Routers die Modell-Nummer oder den Namen des Produktes eingeben.

Vor rund einem Jahr hat Netgear ein Bug-Bounty-Programm gestartet, bei dem Entdecker von Lücken bis zu 15.000 US-Dollar Belohnung bekommen können.

[UPDATE 09.02.2018 13:15]

Ein Sicherheitsforscher von SpiderLabs hat die Lücken bereits 2017 entdeckt. Auch die Updates erschienen bereits im Sommer und Ende vergangenen Jahres. Die Lücken tauchen jetzt nochmal auf, da der Sicherheitsforscher erst jetzt technische Details präsentiert. (des)