Nicht nur PCs müssen von Anwendern aktuell gehalten werden. Immer öfter werden auch Router Ziel von Cyber-Kriminellen. Aufgefallen ist die Lücke zufällig dem Sicherheitsexperten Joe Giron. Ihm fiel auf, dass seine DNS-Einstellungen im privaten Router verändert waren.
Welche Netgear-Router sind betroffen?
Im aktuellen Netgear-Fall sollen mehr als 11.000 Router betroffen sein. Gegenüber der BBC soll Netgear allerdings die Zahlen betroffener Router korrigiert haben: etwa 5.000 Geräte seien betroffen.
Die Schwachstelle soll mit einer Passwort-Abfrage zusammenhängen. Diese wird bei einigem Modellen abgeschaltet, wenn eine bestimmte URL aufgerufen wird. Allerdings soll diese Passwort-Abschaltung nur bei der Inbetriebnahme des Routers aktiv sein.
Anschließend soll die Abschaltung deaktiviert werden. Wegen fehlerhaftem Code soll sie aber mit aktiv bleiben. Hacker können laut dem Compass Security Blog die Schwachstelle ausnutzen indem sie die Passwort-Abfrage umgehen.
Betroffen sind folgende Netgear-Router:
- JWNR2000v5
- JWNR2010v5
- JNR1010v2
- WNR1000v4
- WNR2020
- WNR2020v2
- WNR614
- WNR618
Alle Modelle nutzen die gleiche Firmware-Version. Bestätigt ist die Sicherheitslücke in den beiden Firmware-Versionen “N300_1.1.0.31_1.0.1” und “N300_1.1.0.28_1.0.1”. Angreifer können wegen der Lücke Zugriff auf die Verwaltungsoberfläche erhalten. Zugangsdaten sind dafür nicht notwendig.
Was können Angreifer anrichten?
Ändert ein Hacker beispielsweise die DNS-Einstellungen und leitet dadurch den Datenverkehr über einen anderen Server, kann er z.B. die aufgerufenen Webseiten des Opfers auslesen. Aber das ist noch nicht alles: DNS-Abfragen können manipuliert werden, so dass Surfer gefälschte Webseiten sehen. Ein Angreifer wurde laut Compass Security bereits ausgemacht. Ein Webserver von dem aus Angriffe erfolgten wurde daraufhin abgeschaltet.
Es besteht aber immer die Gefahr, dass Hacker andere Webserver für Attacken nutzen. Laut Netgear können Angreifer die Lücke nur aus dem lokalen Netz (LAN oder WLAN) ausnutzen. Wenn die Remote-Verwaltung aktiviert ist, ist auch eine Attacke aus dem Internet möglich.
So geht der Angriff
Eine Reihe von Netgear-Routern hat möglicherweise eine Sicherheitslücke. Nicht autorisierten Nutzern ist es dadurch möglich Fernzugriff auf das Netzwerkgerät zu erhalten. Der Hersteller arbeitet bereits an einem Patch – dabei soll die Lücke bereits seit Monaten bekannt sein.
Was sollten Sie als Besitzer eines der betroffenen Netgear-Geräte tun?
In jedem Fall sollten Sie das Sicherheitsupdate einspielen. Dieses kann direkt von der Netgear-Website heruntergeladen werden. Ein automatisches Sicherheitsupdate gibt es nicht und wird es nicht geben.
Um einem Hacker erst keine Möglichkeit zu geben einen Angriff durchzuführen, sollten Nutzer bei Ihrem Netgear-Router die Remote-Verwaltung deaktivieren bis zumindest der Patch installiert ist.
Standardmäßig ist die angesprochene Fernwartung aber deaktiviert und sollte es auch bleiben, wenn man diese Funktion nicht unbedingt nutzen möchte.
So deaktivieren Sie die Fernsteuerung bei Ihrem Netgear-Router:
- Melden Sie sich am Router an. Eine Liste von Standard Router-Adressen und Passwörtern haben wir hier auf DSLregional.de zusammengetragen.
- Gehen Sie zum Menüpunkt Erweitert > Fernsteuerung.
- Wählen Sie Fernsteuerung deaktivieren.