Fehlschlag beim Sicherheitsupdate

Netgear Port 32764 Lücke - Router-Hersteller verspricht endgültig Abhilfe

Die Router-Sicherheitslücke in Port 32764 ist nicht durch. Netgear reagierte mit einem Patch, der das Problem nur verschob. Jetzt wird endgültig Abhilfe gelobt.

News
VG Wort Pixel
Der Router-Hersteller verspricht endgültig Abhilfe bei der Sicherheitslücke.
Der Router-Hersteller verspricht endgültig Abhilfe bei der Sicherheitslücke.
© Netgear

Die ursprüngliche Sicherheitslücke im Router-Port 32764 betraf verschiedene Hersteller. Sie ermöglichete es Angreifern, über einen nicht dokumentierten Port auf Router zuzugreifen und dort die Kontrolle zu übernehmen, Passwörter auszulesen, zu ändern oder Skripte auszuführen - eine klassische Backdoor. Wir berichteten über diese Port-32764-Lücke und über die betroffenen Geräte.

Netgear benötigte mehrere Monate, um diesen offenen Port in einigen seiner WLAN-Router zu schließen. Doch das Anfang April erschienene Sicherheitsupdate funktionierte nicht korrekt. Die Lücke wurde nicht wirklich geschlossen, sondern nur verschoben und damit besser "versteckt".

Wie der französische Reverse-Engineer Eloi Vanderbeken berichtet, existiert der Dienst nach wie vor. Vanderbeken konnte die Lücke bei enem Netgear-Router vom Typ DGN1000 erneut ausnutzen. Der Backdoor-Dienst lauscht zwar nicht mehr - wie vorher - direkt auf Port 32764, kann aber durch spezielle Datenpakete aktiviert werden. Es wurde ein Prozess vorgeschaltet, der nur auf bestimmte Daten reagiert, die entweder vom LAN oder durch die PPPoE-Gegenstelle, also durch den Provider an den Router schicken geschickt werden müssen.

Damit ist der Port-Angriff zumindest nicht mehr durch jedermann direkt aus dem Internet möglich. Die Aktivierungsdaten enthalten unter anderem den MD5-Hash des Modellnamens DGN1000. Wenn die Analyse stimmt, sieht das durchaus nach einer absichtsvollen Verschleierung der ursprünglichen Backdoor aus. Netgear äußerte sich inzwischen zu den Vorwürfen und erklärt, "im Moment mit unserem Technologiepartner SerComm zusammen den Behauptungen nachzugehen".

Welche Geräte von Netgear derzeit geprüft werden, ist folgender Liste zu entnehmen, die der Hersteller auf Anfrage an Heise-Security geschickt hat:

Unklar und unbeantwortet ist weiterhin die Frage, wer für den Backdoor-Dienst verantwortlich ist.

24.4.2014 von Joachim Drescher

Weiter zur Startseite  

Mehr zum Thema

Das Hasso-Plattner-Institut bietet einen Sicherheits-Test an.

Millionen gestohlene Datensätze

HPI-Test: Eigene E-Mail-Adresse auf Identitätsklau testen

Mit seiner E-Mail-Adresse kann man beim Hasso-Plattner-Institut testen lassen, ob eigene Daten Hackern zum Opfer gefallen sind und im Internet…

WhatsApp

Abmahnungen können drohen

Whatsapp-Kerze: Corona sorgt für Kettenbrief-Comeback nach 5…

Ein Whatsapp-Kettenbrief mit dem Foto einer Kerze taucht nach mehr als fünf Jahren wieder auf. Statt Solidarität für Corona-Patienten drohen…

E-Mails am PC: nicht immer sicher!

"Ihre Aktion ist erforderlich"

Warnung vor Paypal-Phishing mit echten Daten

Eine vermeintliche E-Mail von Paypal (Betreff: "Ihre Aktion ist erforderlich") wegen der SEPA-Umstellung ist ein Phishing-Angriff. Vorsicht!

Symbolbild: Sicherheit

Kundenpasswörter im Klartext

Bitdefender gehackt und erpresst - Nutzerdaten gestohlen

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im Klartext.

Flash-Lücke entdeckt

Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten fast eine Woche lang Malware aus

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.