Trend Micro musste notgedrungen eine Zero Day Schwachstelle im Juni dieses Jahres veröffentlichen. Hintergrund dazu war, dass Netgear sich sechs Monate Zeit mit einer Reaktion Zeit gelassen hatte und nur neuere Geräte mit Sicherheitslücken versorgt.

Zu den nicht-gepatchten Geräten gehören 45 Home-Router. Wie alle anderen Netgear Geräte, haben sie eine Schwachstelle, bei der per Remote beliebige Programme ausgeführt werden können. Netgear bezeichnete diese Geräte „nicht mehr innerhalb des Unterstützungszeitraums“.

Das CERT Coordination Center veröffentlichte in diesem Zusammenhang am 26.06.2020 die Sicherheitsinformation VU#576779. In dieser hieß es, dass mehrere Netgear-Geräte einen Stack-Buffer-Overflow enthalten würden. Dieser liegt im Bereich des upgrade_check.cgi des httpd-Webservers. Dadurch wird möglicherweise eine nicht authentifizierte Remote-Codeausführung mit Root-Privilegien zugelassen.

Netgear: Die Schwachstelle

Laut CERT enthalten die meisten Netgear-Geräte einen eingebetteten Webserver. Dieser wird durch den httpd-Prozess bereitgestellt, um administrative Abläufe zu ermöglichen. Auf mehreren Netgear-Geräten, so wurde festgestellt, validiert dieser Code die Header-Größe nicht richtig. Trotz des Kopierens des Headers in einen Buffer mit fester Größe auf dem Stack, kopiert der anfällige Code eine bereitgestellte Anzahl von Bytes von den durch einen potenziellen Angreifer bereitgestellten Daten. Das ermöglicht die Remote Codeausführung durch einen Stack-Buffer-Overflow.

Doch das ist nicht die einzige Schwachstelle. Es gibt laut CERT noch fünf zusätzliche Punkte, die das Problem noch verstärken würden. Diese sind:

1. Der httpd-Prozess läuft mit Root-Privilegien.
2. Stack-Cookies, die helfen könnten, die Ausnutzung des Stack-Buffer-Overflows zu verhindern, werden nicht universell in Netgear-Geräten verwendet.
3. Um den anfälligen Code zu erreichen, ist keine Authentifizierung erforderlich.
4. Die Schwachstelle tritt auf bevor die Cross-Site Request Forgery (CSRF)-Tokenprüfung erfolgt.
5. Das Fingerprinting auf dem Zielgerät kann erfolgen, wenn das betroffene Gerät /currentsetting.htm besucht.

Kritische Auswirkungen hat dieser Fehler, wenn ein Angreifer einen Nutzer dazu verleitet, eine bösartige oder kompromittierte Website zu besuchen. Damit könnte der Angreifer dann beliebigen Code auf das anfällige Gerät mit Root-Privilegien ausführen.

Diese Lösungen bietet Netgear seinen Kunden

Forscher von Infosec hatten bei Netgear zusätzlichen Druck gemacht und das Unternehmen begann schließlich mit dem Release von Updates und Hotfixes. Auch ein Workaround wurde vorgeschlagen. Dabei soll Remote-Verwaltung auf der Web-Benutzeroberfläche des Routers oder Gateways ausgeschaltet werden. Das würde das Risiko, diesen Schwachstellen ausgesetzt zu sein, erheblich minimieren, hieß es von Netgear. Dies sei aber nur dort nötig, wo die werkseitige Voreinstellung verändert worden wären.

Des Weiteren gibt Netgear noch andere Hilfestellungen, wie die Firmware ihrer Netgear-Produkte aktualisiert und die Sicherheit erhöht werden kann. Vom WLAN-Kennwort bis zur Einrichtung eines Gast-WLANs auf dem Router, gibt es Informationen für Kunden.

Die von CERT veröffentlichte Tabelle zeigt aber auch, dass Netgear von den 79 gefährdeten Produktlinien allerdings 28 ganz aussortiert hatte. Komplizierter für Nutzer wird dies noch dadurch, dass es mehrere Hardware-Versionen einiger betroffener Produkte gibt.

Es wird bemängelt, dass Netgear seine Kunden nicht darüber informiert, wenn Geräte aus dem Update-Dienst herausfallen. Das CERT Coordination Center stellte eine Tabelle zusammen, aus der genau hervorgeht, für welche Geräte Aktualisierungen bereitstehen. Die Tabelle zeigt auch auf, welche Geräte weiterhin aktualisiert werden und welche nicht unterstützt werden. Insgesamt handelt es sich um 45 Netgear-Geräte, die keine Updates mehr erhalten werden. Wer eines der gelisteten Geräte besitzt, sollte es durch ein neueres ersetzen. Für viele Experten ist es ein Armutszeugnis seitens Netgear, dass sie ihre Kunden hier im Dunkeln lässt. Das Unternehmen liefert beim Kauf keinerlei Informationen über die Lebensspanne seiner Produkte.

Auch für SANS IT-Sicherheitsexperte John Pescatore ist der Fall sehr bedenklich. Besonders in Zeiten, in denen viele Arbeitnehmer vom Homeoffice aus arbeiten, ist Sicherheit wichtig. Vor allem die Infos aus der CERT-Tabelle verleiten ihn zu der Empfehlung, keine Netgear Geräte mehr zu kaufen. Er sieht das Problem, mit denen die Verbraucher allein gelassen werden, als so groß an, dass eine gesetzliche Regelung dafür geschaffen werden müsste. Auch die Angabe von Support-Zeiträumen oder zumindest die Voraberklärung von garantierten Support-Zeiträumen, müssten herstellerseitig unbedingt angegeben werden.

Artikel von kb.cert.org, 26.06.2020: Netgear httpd upgrade_check.cgi stack buffer overflow
Artikel von theregister.com, 30.07.2020: If you own one of these 45 Netgear devices, replace it: Kit maker won’t patch vulnerable gear despite live proof-of-concept code
Artikel von netgear.com: Security Advisory for Multiple Vulnerabilities on Some Routers, Mobile Routers, Modems, Gateways, and Extenders | Answer

Beitragsbild: Public Domain, Creative Commons CC0, aleksandar pasaric über pexels.com.