Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.702.466 Produkten

Dennis Schirrmacher 73

Einige Netgear-Router lassen sich mit simplem URL-Trick übernehmen Update

Schnelles Internet

Bild: dpa, Frank Rumpenhorst

In vielen Routern von Netgear klaffen Sicherheitslücken, die Angreifern mitunter Tür und Tor öffnen können. Updates schaffen Abhilfe.

DSL-Tarifvergleich Anzeige

Aufgrund von verschiedenen Sicherheitslücken rät Netgear Router-Besitzern dringend dazu, ihre Geräte zu aktualisieren. Ansonsten könnten Angreifer ohne viel Aufwand die Kontrolle über Router erlangen.

Anzeige

Am gefährlichsten gilt eine Schwachstelle in 17 Modellen, durch deren Ausnutzung sich Angreifer ohne Login-Daten an Geräten anmelden können. Ist der Router für den Zugriff aus dem Internet konfiguriert, müssen Angreifer lediglich "&genie=1" in die URL einfügen und schon können sie die Kontrolle übernehmen. Die betroffenen Modelle und bedrohten Firmware-Versionen listet Netgear in einer Sicherheitswarnung auf.

Setzen Angreifer an einer Lücke im Web-Server an, können sie unter Umständen auf Dateien zugreifen. Das soll auch mit Daten die sich auf einem am Router angeschlossenen USB-Stick befinden funktionieren.

Einige Router weisen einen Fehler bei der Wi-Fi-Protected-Nutzung (WPS) auf. Nachdem man den Knopf dafür gedrückt hat, tut sich für Angreifer ein Zwei-Minuten-Fenster auf, in dem sie unter gewissen Voraussetzungen Code mit Root-Rechten ausführen können.

Ob Angreifer bereits Lücken ausgenutzt habe, ist derzeit nicht bekannt. Die Sicherheitsupdates finden sich auf einer Support-Seite von Netgear. Dort muss man in der Kategorie WiFi Routers die Modell-Nummer oder den Namen des Produktes eingeben.

Vor rund einem Jahr hat Netgear ein Bug-Bounty-Programm gestartet, bei dem Entdecker von Lücken bis zu 15.000 US-Dollar Belohnung bekommen können.

[UPDATE 09.02.2018 13:15]

Anzeige

Ein Sicherheitsforscher von SpiderLabs hat die Lücken bereits 2017 entdeckt. Auch die Updates erschienen bereits im Sommer und Ende vergangenen Jahres. Die Lücken tauchen jetzt nochmal auf, da der Sicherheitsforscher erst jetzt technische Details präsentiert. (des)

73 Kommentare

Themen:

Anzeige
  1. Diverse NAS-Geräte von Qnap und Synology anfällig für Meltdown & Spectre

    Sicherheitslücken Meltdown und Spectre

    Angreifer könnten Netzwerkspeicher von Qnap und Synology über die CPU-Lücken Meltdown & Spectre attackieren. Sicherheitsupdates stehen noch aus.

  2. Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern

    Meltdown und Spectre: Link-Übersicht  zu Informationen von Hardware- und Software-Herstellern

    Hersteller von Hard- und Software sind von den Sicherheitslücken Meltdown und Spectre gleichermaßen betroffen. Eine Linkübersicht zu Stellungnahmen, weiterführenden Informationen und Update-Hinweisen.

  3. KRACK: Hersteller-Updates und Stellungnahmen

    Vorsicht im öffentlichen WLAN

    Mittlerweile haben einige von der WPA2-Lücke KRACK betroffene Hersteller Patches veröffentlicht, die die Gefahr abwehren. Andere meldeten sich in Stellungnahmen zu Wort.

  4. Cisco schließt zum Teil äußerst kritische Sicherheitslücken im IOS-Betriebssystem

    Server

    Im IOS-/IOS-XE-System von Netzwerkgeräten klaffen mehr als ein Dutzend Schwachstellen. Setzen Angreifer an diesen an, sollen sie mit vergleichsweise wenig Aufwand Geräte übernehmen können. Sicherheitsupdates sind verfügbar.

  1. Die Neuerungen von Linux 4.14

    Linux-Kernel 4.14

    Die neue Kernel-Version bringt Speicherverschlüsselung, einen neuen Schlafmodus und einige Performance-Verbesserungen. Außerdem überwindet sie eine Grenze, die auf die ersten 64-Bit-x86-Prozessoren zurückgeht.

  2. WLAN richtig verschlüsseln - so klappt's

    Sie möchten Ihr WLAN-Netzwerk richtig verschlüsseln und es damit nach außen absichern? Wir zeigen Ihnen, wie es geht.

  3. Die Neuerungen von Linux 4.13

    Linux-Kernel 4.13

    Der neue Kernel kann die Schwerarbeit bei der HTTPS-Verschlüsselung übernehmen. Statt einer "inakkuraten" Taktfrequenzangabe findet sich in /proc/cpuinfo jetzt nur noch der Basistakt des Prozessors. Außerdem sind jetzt Treiber für neue Grafikkerne von AMD und Intel dabei.

  1. Sternenexplosion: Amateur-Astronom beobachtet erstmals Beginn einer Supernova

    Astronomie: Amateur-Astronom beobachtet erstmals Beginn einer Supernova

    Der Argentinier Victor Buso widmet sich in seiner Freizeit der Astronomie: Nun ist es ihm offenbar als erstem Menschen überhaupt gelungen, die Anfänge einer Supernova abzulichten. Forscher erhoffen sich wichtige neue Erkenntnisse.

  2. Fritzbox 7583: Neuer AVM-Router für extraschnelles DSL

    MWC: Fritzbox 7583 für extraschnelles DSL

    Äußerlich gleich, innen flotter als der Vorgänger 7580: Die Fritzbox 7583 schafft an gebondeten G.fast-Anschlüssen maximal 3 GBit/s Downloadrate. Super Vectoring beherrscht sie aber auch.

  3. Klartext: Der Frosch, der Auto fährt

    Klartext

    Bei Comma.ai kann man sich an einem Open-Source-Projekt zum autonomen Fahren beteiligen. Das ist cool. Gründer George Hotz prahlt gern: "We are going to win autonomous cars." Das ist weniger cool. Ich verbreite etwas Ernüchterung

  4. Studie: IT-Freiberufler nagen nicht am Hungertuch

    Xing AG

    Selbständige werden häufig als Risikogruppe für Altersarmut dargestellt, was laut einer repräsentativen Allensbach-Studie zumindest für den IT-Bereich nicht zutrifft. Dort liege das frei verwertbare Monatsnetto-Einkommen für Freelancer bei fast 4700 Euro.

Anzeige