Netgear-Router: Sicherheitslücke ermöglicht das Erlangen von Administratorrechten

CERT-Bund, das Computer-Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat im Rahmen einer Kurzinfo (CB-K17/0109) erneut vor einer Schwachstelle in Netgear-Routern, die vor allem im Privatbereich zum Einsatz kommen, gewarnt. Das CERT stuft das Risiko für Angriffe auf die Sicherheitslücke (CVE-2017-5521) als sehr hoch ein.

Netgear R8000 (Bild: Netgear)

Der Warnung zufolge kann ein entfernter, nicht authentisierter Angreifer eine Schwachstelle in einer Vielzahl von Netzwerkprodukten des Herstellers Netgear ausnutzen, um das Passwort für den administrativen Zugang über die Weboberfläche offenzulegen. Die Schwachstelle kann über das interne Netzwerk oder, falls die im Auslieferungszustand abgeschaltete Fernwartung aktiviert ist, über den WAN-Anschluss mit Hilfe einer speziell präparierten Anfrage ausgenutzt werden, wenn die Funktion zur Wiederherstellung von Passworten im Gerät abgeschaltet ist.

Zu den betroffenen Geräten zählen laut einer Sicherheitswarnung des Herstellers die Dual- und Tri-Band-Router mit den Modellnummern AC1450, R6200, R6200v2, R6250, R6300, R6300v2, R6400, R6700, R6900, R7000, R7100LG, R7300, R7900, R8000, R8300, R8500, VEGN2610, WNDR3400v2, WNDR3400v3, WNDR3700v3, WNDR4000, WNDR4500, WNDR4500v2, WNR1000v3, WNR3500Lv2, der Kabelrouter C6300 sowie die DSL-Router mit den Modellnummern D6220, D6300, D6300B, D6400 und DGN2200Bv4.

Der Hersteller bestätigt die Schwachstelle, stellt aber bislang nur für die Geräte R8500, R8300, R7000, R6400, R7300, R7100LG, R6300v2, WNDR3400v3, WNR3500Lv2, R6250, R6700, R6900, R8000, R7900, WNDR4500v2, R6200v2 und WNDR3400v2 eine neue Firmware als Sicherheitsupdate bereit. Für den Kabelrouter C6300 wird die neue Firmware über den Provider zur Verfügung gestellt und eingespielt, sobald sie verfügbar ist.

Betroffen und weiterhin verwundbar sind laut Netgear die Geräte R6200 bis Firmware-Version v1.0.1.56_1.0.43, R6300 bis v1.0.2.78_1.0.58, VEGN2610 bis v1.0.0.36, AC1450 bis v1.0.0.34_10.0.16, WNR1000v3 bis v1.0.2.68_60.0.93, WNDR3700v3 bis v1.0.0.40_1.0.32, WNDR4000 bis v1.0.2.4_9.1.86, WNDR4500 bis v1.0.1.44_1.0.73, C6300 bis v2.01.14, D6400 bis v1.0.0.44, D6220 bis v1.0.0.12, D6300 bis v1.0.0.96, D6300B bis v1.0.0.40 und DGN2200Bv4 bis v1.0.0.68. Für diese Geräte empfiehlt der Hersteller einen Workaround, der in der Sicherheitswarnung entsprechend beschrieben ist.

Erst vor fünf Wochen hatte das US-CERT (Computer Emergency Response Team) eine Sicherheitswarnung für zunächst zwei WLAN-Router von Netgear veröffentlicht. Betroffen waren die Artikel AC1900-Nighthawk (Modell R7000) und AC1750 (Modell R6400), die auch hierzulande angeboten werden. Unabhängig von der verwendeten Firmwareversion waren die Geräte anfällig für das Einschleusen von Schadcode aus der Ferne. Dazu reichte ein Klick auf einen manipulierten Link. Kurz darauf stellte sich heraus, dass auch die Modelle R6250, R6700, R6900, R7100LG, R7300, R7900, R8000, D6220 und D6400 betroffen sind. Für die Modelle R6250, R6400, R7000 und R8000 stellte Netgear kurz vor Weihnachten die eine finale Firmware zur Verfügung, für die übrigen Modelle kurz darauf. Der D7000 soll letzten Informationen von Netgear nach nicht von der Anfälligkeit betroffen gewesen sein.