Fehlschlag beim Sicherheitsupdate

Netgear Port 32764 Lücke - Router-Hersteller verspricht endgültig Abhilfe

Die Router-Sicherheitslücke in Port 32764 ist nicht durch. Netgear reagierte mit einem Patch, der das Problem nur verschob. Jetzt wird endgültig Abhilfe gelobt.

Der Router-Hersteller verspricht endgültig Abhilfe bei der Sicherheitslücke.

© Netgear

Der Router-Hersteller verspricht endgültig Abhilfe bei der Sicherheitslücke.

Die ursprüngliche Sicherheitslücke im Router-Port 32764 betraf verschiedene Hersteller. Sie ermöglichete es Angreifern, über einen nicht dokumentierten Port auf Router zuzugreifen und dort die Kontrolle zu übernehmen, Passwörter auszulesen, zu ändern oder Skripte auszuführen - eine klassische Backdoor. Wir berichteten über diese Port-32764-Lücke und über die betroffenen Geräte.

Netgear benötigte mehrere Monate, um diesen offenen Port in einigen seiner WLAN-Router zu schließen. Doch das Anfang April erschienene Sicherheitsupdate funktionierte nicht korrekt. Die Lücke wurde nicht wirklich geschlossen, sondern nur verschoben und damit besser "versteckt".

Wie der französische Reverse-Engineer Eloi Vanderbeken berichtet, existiert der Dienst nach wie vor. Vanderbeken konnte die Lücke bei enem Netgear-Router vom Typ DGN1000 erneut ausnutzen. Der Backdoor-Dienst lauscht zwar nicht mehr - wie vorher - direkt auf Port 32764, kann aber durch spezielle Datenpakete aktiviert werden. Es wurde ein Prozess vorgeschaltet, der nur auf bestimmte Daten reagiert, die entweder vom LAN oder durch die PPPoE-Gegenstelle, also durch den Provider an den Router schicken geschickt werden müssen.

Damit ist der Port-Angriff zumindest nicht mehr durch jedermann direkt aus dem Internet möglich. Die Aktivierungsdaten enthalten unter anderem den MD5-Hash des Modellnamens DGN1000. Wenn die Analyse stimmt, sieht das durchaus nach einer absichtsvollen Verschleierung der ursprünglichen Backdoor aus. Netgear äußerte sich inzwischen zu den Vorwürfen und erklärt, "im Moment mit unserem Technologiepartner SerComm zusammen den Behauptungen nachzugehen".

Welche Geräte von Netgear derzeit geprüft werden, ist folgender Liste zu entnehmen, die der Hersteller auf Anfrage an Heise-Security geschickt hat:

  • DGN3500 (nicht für den deutschen Markt)
  • DGN1000 v1 (nicht für den deutschen Markt)
  • DGN1000 v2 (nicht für den deutschen Markt)
  • DGN1000B (nur für den deutschen Markt)
  • DG834G (nicht für den deutschen Markt)
  • DG384B (nur für den deutschen Markt)
  • DGN3500B (nur für den deutschen Markt)
  • DGN2000B (nur für den deutschen Markt)
  • DGND3300Bv2 (nur für den deutschen Markt)
  • DM111Pv2 (nicht für den deutschen Markt)
  • DM111PSPv2 (nicht für den deutschen Markt)
  • JNR3210 (auch für den deutschen Markt)
Unklar und unbeantwortet ist weiterhin die Frage, wer für den Backdoor-Dienst verantwortlich ist.

Mehr zum Thema

Symbolbild für Internet-Sicherheit und Spionage
Nach Hacking-Team-Enthüllungen

Kritisches Flash Player Update als Download: Nach den Hacking-Team-Enthüllungen werden die aufgedeckten Sicherheitslücken bereits ausgenutzt.
Flash-Lücke entdeckt
Hacking Team Leak

Der Hackerangriff auf die italienische IT-Firma Hacking Team bringt weitere schwere Sicherheitslücken in Adobe Flash ans Tageslicht.
Firefox - Flash Player Block
Mozilla und Facebook reagieren auf neue Exploits

Mozilla reagiert auf die jüngst aufgedeckten Zero-Day-Lücken in Adobes Flash Player. Im Browser Firefox wird das Flash-Plugin vorerst per…
Spam-Mails
Betrug per E-Mail

Eine vermeintliche E-Mail von Amazon führt zur Katastrophe: Ein Video zeigt, wie schnell unachtsame Internet-Nutzer Phishing-Mails zum Opfer fallen…
E-Mails am PC: nicht immer sicher!
"Ihre Aktion ist erforderlich"

Eine vermeintliche E-Mail von Paypal (Betreff: "Ihre Aktion ist erforderlich") wegen der SEPA-Umstellung ist ein Phishing-Angriff. Vorsicht!