Router-Schwachstellen: Jetzt auch bei Netgear und Tenda

Huh? Was ist denn zur Zeit los? Entweder ist die Jagdsaison auf Router eröffnet oder die Qualitätssicherungen der Hersteller schlafen.

Zuerst war da D-Link, darüber hatte ich ja geschrieben.

Craig von dev/ttS0 hat danach gleich wieder zugeschlagen, er fand eine Backdoor in den Routern von Tenda. Das ist ein chinesischer Hersteller, bei uns wohl eher unbekannt. Allerdings könnte es natürlich auch sein, dass irgendein Billiganbieter die Produkte unter eigenem Namen verkauft.

Die Sicherheitslücke ist im integrierten Webserver (also der, mit dem etwa die Admin-Oberfläche angezeigt wird). Die Sicherheitslücke betrifft eine ganze Reihe von Tenda-Routern, wie ea in seinem Blog aufschreibt. Dort gibt es auch ein NMap-Script.

Und dann wäre da noch Netgear. Gefunden von Zach Cutlip, aufgeschrieben in den Shadow Files. Die Router der Typenreihe WNDR3700v4 enthalten eine Schwachstelle, über die man die Anmeldung zum Admin-Interface umgehen kann. Indem man den „BRS_02_genieHelp.html“ an die Router-Adresse anhängt. Jupp. Damit hebelt ihr den Passwortschutz aus und könnt euch laut Zach im Admin-Interface austoben.

Ich werde das mal bei meinem Netgear hier probieren (allerdings nicht sofort, WorkWorkWork und so). Wenn ihr was rausgefunden habt oder die Schwachstellen in anderen Geräten bestätigen könnt, dann freue ich mich über einen kurzen Kommentar.

Wichtig, wichtig, wichtig: Sorgt dafür, dass eure Router NICHT im Internet sind, wenn ihr sie nicht unbedingt übers Web erreichen wollt. Was Shodan da so alles findet, das ist unheimlich.

Über Moritz Jaeger

Mo steht für Moritz Jaeger. Ich bin freier Journalist aus München und schreibe unter anderem für den TecChannel, ComputerWoche, GameStar, PC-Welt, CIO, ZDNet oder Security-Insider. Dieses Blog ist privat, hier geht es vor allem um Themen rund um IT, Geek-Kultur oder Comics. Außerdem probiere ich hier immer wieder neue Möglichkeiten aus, es kann also sein, dass ein paar Dinge nicht so hipp/schön/ausgereift sind – aber dafür sind Blogs ja da.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

banner