Kritische 0day-Lücke in 79 Netgear-Router-Modellen

enjoy

Addicted

Registered: Sep 2000
Location: Tullnerfeld
Posts: 410

21.06.2020 - 07:32

Kritische 0day-Lücke in 79 Netgear-Router-Modellen

Über einen Fehler im eingebauten Webserver lassen sich die Geräte kapern – unter Umständen schon beim Besuch einer Webseite mit dem Exploit.

Link: www.heise.de

Mittlerweile gibt es offenbar eine Reaktion von Netgear https://kb.netgear.com/000061982/Se...-and-Extenders, ich frage mich nur, warum musste zuerst die Lücke veröffentlicht werden, bevor eine Reaktion erfolgte?

Habe die Liste von Adam Nichols (einer der Forscher, der die Lücke entdeckte) mit den Links zu den Supportseiten hier eingetragen
https://raw.githubusercontent.com/g...load_pages.html
falls kein Firmwareupdate für euren Router vorhanden ist, deaktiviert den Zugang zum Web-Interface über das Internet, dies wird auch von Netgear in der obigen Meldung empfohlen, wie das geht steht bei Netgear im obigen Link

Zitat
To turn off Remote Management:

On a computer that is part of your home network, type http://www.routerlogin.net in the address bar of your browser and press Enter.
Enter your admin user name and password and click OK.
If you never changed your user name and password after setting up your router, the user name is admin and the password is password.
Click Advanced > Remote Management.
If the check box for Turn Remote Management On is selected, clear it.
If Remote Management was turned on, click Apply to save your changes.
Otherwise, click Cancel.

WNDR3400
AC1450
D6220
D6300
D6400
D7000v2
D8500
DC112A
DGN2200
DGN2200v4
DGN2200M
DGND3700
EX3700
EX3800
EX3920
EX6000
EX6100
EX6120
EX6130
EX6150
EX6200
EX6920
EX7000
LG2200D
MBM621
MBR624GU
MBR1200
MBR1515
MBR1516
MBRN3000
MVBR1210C
R4500
R6200
R6200v2
R6250
R6300
R6300v2
R6400
R6400v2
R6700
R6700v3
R6900
R6900P
R7000
R7000P
R7100LG
R7300
R7850
R7900
R8000
R8300
R8500
RS400
WGR614v8
WGR614v9
WGR614v10
WGT624v4
WN2500RP
WN2500RPv2
WN3000RP
WN3100RP
WN3500RP
WNCE3001
WNDR3300
WNDR3300v2
WNDR3400
WNDR3400v2
WNDR3400v3
WNDR3700v3
WNDR4000
WNDR4500
WNDR4500v2
WNR834Bv2
WNR1000v3
WNR2000v2
WNR3500
WNR3500v2
WNR3500L
WNR3500Lv2
XR300

enjoy

Addicted

Registered: Sep 2000
Location: Tullnerfeld
Posts: 410

21.06.2020 - 08:03

Wer testen möchte, wie gut sein Router gegenüber dem Internet abgesichert ist
Hier ein Test bei Heise https://www.heise.de/security/diens...shtml?scanart=1
bzw. ShieldsUP bei Steve Gibson https://www.grc.com/x/ne.dll?bh0bkyd2

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5209

21.06.2020 - 08:50

ich hoffe sie bügeln das bald aus.
auf dauer auf cisco-niveau zu bleiben ist doch geschäftsschädigend

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49897

21.06.2020 - 09:27

Bei Cisco rennts doch auch gut.

Web interface im Internet zu haben ist sowieso immer eine schlechte Idee.

tialk

Here to stay

Registered: May 2002
Location: vo/stmk
Posts: 3281

21.06.2020 - 10:01

gibt bei netgear leider noch andere probleme(exploits) - aber hier, wenn nur das webif nicht nach ausen hin offen sein soll, ist es jetzt auch nicht das tragischste...
es lässt doch zb. auch keiner mehr RDP nach aussen offen - oh wait...

InfiX

she/her

Registered: Mar 2002
Location: Graz
Posts: 14191

21.06.2020 - 13:49

reicht es jetzt wenn remote management aus ist? (war es sowieso)

für mich ist das aus dem heise artikel nämlich nicht ganz hervorgegangen nachdem da von einer präparierten website die rede war, ob das dann über das lokale webinterface auch geht.

enjoy

Addicted

Registered: Sep 2000
Location: Tullnerfeld
Posts: 410

21.06.2020 - 17:31

Zitat
Turning off Remote Management on your router or gateway Web GUI significantly reduces your risk of exposure to these vulnerabilities.

aus dem Link von Netgear - wie signifikant die Reduzierung ist, kann ich dir leider auch nicht sagen

https://blog.grimm-co.com/2020/06/s...ploitation.html
hier ist der Fehler genauer beschrieben, mein Englisch und Fachkenntnis reicht leider nicht aus, um es genau zu verstehen,
aber ich glaube, dass ohne Zugriff von außen dieser Fehler nicht ausnutzbar ist
bitte korrigiert mich, wenn ich falsch liege

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19688

21.06.2020 - 21:07

Zitat aus einem Post von enjoy
ich frage mich nur, warum musste zuerst die Lücke veröffentlicht werden, bevor eine Reaktion erfolgte?

Weil Firmen in der Regel nichts machen wenn sie keine Kohle dafür sehen.

Ich frage mich allerdings ernsthaft warum Remote Management bei Routern für daheim überhaupt existiert. Ja da gibt es sicher diesen weirden use-case ... aber ernsthaft, wer würde irgendwelchen 0815 Routern überhaupt soweit vertrauen (sicher auf der Welt zu 99,xx% unpatched seit Kaufdatum, dann bekommst üblicherweise sobald das Nachfolger-Modell da ist sowieso keine Firmware-Updates) um so eine Funktion einzuschalten.

Das kann man doch nur aus Naivität oder Unwissen machen ...
Alleine so eine Funktion anzubieten ohne regelmäßige Security-Updates wie sie bei einem Betriebssystem üblich sind, ist imho sowieso grob fahrlässig.

/Edit: Muss dazu sagen, von Haus aus ist diese Funktion üblicherweise eh deaktiviert ...

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12146

21.06.2020 - 21:19

Zitat
/Edit: Muss dazu sagen, von Haus aus ist diese Funktion üblicherweise eh deaktiviert ...

da gabs doch diese chinesischen überwachungscameras wos standardmäßig aktiv war. wie hieß noch gleich das botnet

?

Bearbeitet von davebastard am 21.06.2020, 21:32

LJ

the force is with me

Registered: Jul 2000
Location: Markthof
Posts: 950

21.06.2020 - 21:29

Zitat aus einem Post von daisho
Weil Firmen in der Regel nichts machen wenn sie keine Kohle dafür sehen.

Ich frage mich allerdings ernsthaft warum Remote Management bei Routern für daheim überhaupt existiert.

Meine Antwort: Marketing. Wenn du drei/vier Router vergleichst, nimmst den der mehr Optionen hat. Brauchst du sie? Weißt du überhaupt was das ist? Vermutlich Nein, aber Router XXX kann das auch ums gleiche Geld und damit wird eher der gekauft.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12067

21.06.2020 - 21:32

U. a. wegen solcher Geschichten wuerde ich nienienienieniemals ein Geraet kaufen, das nicht durch OpenWrt unterstuetzt wird.

daisho

SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19688

22.06.2020 - 12:07

Zitat aus einem Post von COLOSSUS
U. a. wegen solcher Geschichten wuerde ich nienienienieniemals ein Geraet kaufen, das nicht durch OpenWrt unterstuetzt wird.

Naja. Ich hab z.B. einen MR1100 (Netgear Nighthawk M1 LTE Router), als ich den gekauft habe gabs nicht wirklich Alternativen und der einzige Weg meine Bandbreite auf ein annehmbares Maß zu heben.

Ansonsten: Üblicherweise bekommst dein Gerät vom Provider, wenn das OpenWRT-Kompatibel ist gut ... aber wenn nicht, möchte ich mir auch nicht unbedingt ein neues Gerät kaufen (LTE Router vom aktuellen Stand sind meist nicht besonders günstig) nur für den Fall der Fälle.

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49897

22.06.2020 - 12:38

Die Geräte vom Provider sind halt auch alle Crap und sollten rasch verschwinden.
In Deutschland ist der Routerzwang ja per gesetz abgeschafft worden (aber es gibt einen Modemzwang)

Den meisten ist es halt egal - hab auch lange dd-wrt, Tomato oder OpenWRT verwendet. Mit sehr wechselhafter Erfahrung (je nach dem wie gut der Hardware Blob war den die Chipherstelle rher gegeben haben). Mittlerweile bin ich bei Mikrotik und Ubiquiti gelandet. Sind bei Bugs zwar auch etwas träge, aber security wird rasch gefixt (theoretisch mit Linux unterbau, aber aktuellste sourcen sind nicht immer so leicht zu bekommen)

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5209

22.06.2020 - 15:21

ubiquiti braucht doch ein permanent laufendes java-tool im hintergrund.
wie wollen die security machen?

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49897

22.06.2020 - 15:38

Der Controller muss ned dauernd laufen (solang man keinen Gastzugang oder Radius verwendet).
Aber was hast Java mit Security zu tun? Auch damit kann man sichere Applikationen bauen

enjoy Addicted Registered: Sep 2000 Location: Tullnerfeld Posts: 410	21.06.2020 - 07:32 Kritische 0day-Lücke in 79 Netgear-Router-Modellen Über einen Fehler im eingebauten Webserver lassen sich die Geräte kapern – unter Umständen schon beim Besuch einer Webseite mit dem Exploit. Link: www.heise.de Mittlerweile gibt es offenbar eine Reaktion von Netgear https://kb.netgear.com/000061982/Se...-and-Extenders, ich frage mich nur, warum musste zuerst die Lücke veröffentlicht werden, bevor eine Reaktion erfolgte? Habe die Liste von Adam Nichols (einer der Forscher, der die Lücke entdeckte) mit den Links zu den Supportseiten hier eingetragen https://raw.githubusercontent.com/g...load_pages.html falls kein Firmwareupdate für euren Router vorhanden ist, deaktiviert den Zugang zum Web-Interface über das Internet, dies wird auch von Netgear in der obigen Meldung empfohlen, wie das geht steht bei Netgear im obigen Link Zitat To turn off Remote Management: On a computer that is part of your home network, type http://www.routerlogin.net in the address bar of your browser and press Enter. Enter your admin user name and password and click OK. If you never changed your user name and password after setting up your router, the user name is admin and the password is password. Click Advanced > Remote Management. If the check box for Turn Remote Management On is selected, clear it. If Remote Management was turned on, click Apply to save your changes. Otherwise, click Cancel. WNDR3400 AC1450 D6220 D6300 D6400 D7000v2 D8500 DC112A DGN2200 DGN2200v4 DGN2200M DGND3700 EX3700 EX3800 EX3920 EX6000 EX6100 EX6120 EX6130 EX6150 EX6200 EX6920 EX7000 LG2200D MBM621 MBR624GU MBR1200 MBR1515 MBR1516 MBRN3000 MVBR1210C R4500 R6200 R6200v2 R6250 R6300 R6300v2 R6400 R6400v2 R6700 R6700v3 R6900 R6900P R7000 R7000P R7100LG R7300 R7850 R7900 R8000 R8300 R8500 RS400 WGR614v8 WGR614v9 WGR614v10 WGT624v4 WN2500RP WN2500RPv2 WN3000RP WN3100RP WN3500RP WNCE3001 WNDR3300 WNDR3300v2 WNDR3400 WNDR3400v2 WNDR3400v3 WNDR3700v3 WNDR4000 WNDR4500 WNDR4500v2 WNR834Bv2 WNR1000v3 WNR2000v2 WNR3500 WNR3500v2 WNR3500L WNR3500Lv2 XR300
enjoy Addicted Registered: Sep 2000 Location: Tullnerfeld Posts: 410	21.06.2020 - 08:03 Wer testen möchte, wie gut sein Router gegenüber dem Internet abgesichert ist Hier ein Test bei Heise https://www.heise.de/security/diens...shtml?scanart=1 bzw. ShieldsUP bei Steve Gibson https://www.grc.com/x/ne.dll?bh0bkyd2
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5209	21.06.2020 - 08:50 ich hoffe sie bügeln das bald aus. auf dauer auf cisco-niveau zu bleiben ist doch geschäftsschädigend
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49897	21.06.2020 - 09:27 Bei Cisco rennts doch auch gut. Web interface im Internet zu haben ist sowieso immer eine schlechte Idee.
tialk Here to stay Registered: May 2002 Location: vo/stmk Posts: 3281	21.06.2020 - 10:01 gibt bei netgear leider noch andere probleme(exploits) - aber hier, wenn nur das webif nicht nach ausen hin offen sein soll, ist es jetzt auch nicht das tragischste... es lässt doch zb. auch keiner mehr RDP nach aussen offen - oh wait...
InfiX she/her Registered: Mar 2002 Location: Graz Posts: 14191	21.06.2020 - 13:49 reicht es jetzt wenn remote management aus ist? (war es sowieso) für mich ist das aus dem heise artikel nämlich nicht ganz hervorgegangen nachdem da von einer präparierten website die rede war, ob das dann über das lokale webinterface auch geht.
enjoy Addicted Registered: Sep 2000 Location: Tullnerfeld Posts: 410	21.06.2020 - 17:31 Zitat Turning off Remote Management on your router or gateway Web GUI significantly reduces your risk of exposure to these vulnerabilities. aus dem Link von Netgear - wie signifikant die Reduzierung ist, kann ich dir leider auch nicht sagen https://blog.grimm-co.com/2020/06/s...ploitation.html hier ist der Fehler genauer beschrieben, mein Englisch und Fachkenntnis reicht leider nicht aus, um es genau zu verstehen, aber ich glaube, dass ohne Zugriff von außen dieser Fehler nicht ausnutzbar ist bitte korrigiert mich, wenn ich falsch liege
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19688	21.06.2020 - 21:07 Zitat aus einem Post von enjoy ich frage mich nur, warum musste zuerst die Lücke veröffentlicht werden, bevor eine Reaktion erfolgte? Weil Firmen in der Regel nichts machen wenn sie keine Kohle dafür sehen. Ich frage mich allerdings ernsthaft warum Remote Management bei Routern für daheim überhaupt existiert. Ja da gibt es sicher diesen weirden use-case ... aber ernsthaft, wer würde irgendwelchen 0815 Routern überhaupt soweit vertrauen (sicher auf der Welt zu 99,xx% unpatched seit Kaufdatum, dann bekommst üblicherweise sobald das Nachfolger-Modell da ist sowieso keine Firmware-Updates) um so eine Funktion einzuschalten. Das kann man doch nur aus Naivität oder Unwissen machen ... Alleine so eine Funktion anzubieten ohne regelmäßige Security-Updates wie sie bei einem Betriebssystem üblich sind, ist imho sowieso grob fahrlässig. /Edit: Muss dazu sagen, von Haus aus ist diese Funktion üblicherweise eh deaktiviert ...
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12146	21.06.2020 - 21:19 Zitat /Edit: Muss dazu sagen, von Haus aus ist diese Funktion üblicherweise eh deaktiviert ... da gabs doch diese chinesischen überwachungscameras wos standardmäßig aktiv war. wie hieß noch gleich das botnet ? Bearbeitet von davebastard am 21.06.2020, 21:32
LJ the force is with me Registered: Jul 2000 Location: Markthof Posts: 950	21.06.2020 - 21:29 Zitat aus einem Post von daisho Weil Firmen in der Regel nichts machen wenn sie keine Kohle dafür sehen. Ich frage mich allerdings ernsthaft warum Remote Management bei Routern für daheim überhaupt existiert. Meine Antwort: Marketing. Wenn du drei/vier Router vergleichst, nimmst den der mehr Optionen hat. Brauchst du sie? Weißt du überhaupt was das ist? Vermutlich Nein, aber Router XXX kann das auch ums gleiche Geld und damit wird eher der gekauft.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12067	21.06.2020 - 21:32 U. a. wegen solcher Geschichten wuerde ich nienienienieniemals ein Geraet kaufen, das nicht durch OpenWrt unterstuetzt wird.
daisho SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19688	22.06.2020 - 12:07 Zitat aus einem Post von COLOSSUS U. a. wegen solcher Geschichten wuerde ich nienienienieniemals ein Geraet kaufen, das nicht durch OpenWrt unterstuetzt wird. Naja. Ich hab z.B. einen MR1100 (Netgear Nighthawk M1 LTE Router), als ich den gekauft habe gabs nicht wirklich Alternativen und der einzige Weg meine Bandbreite auf ein annehmbares Maß zu heben. Ansonsten: Üblicherweise bekommst dein Gerät vom Provider, wenn das OpenWRT-Kompatibel ist gut ... aber wenn nicht, möchte ich mir auch nicht unbedingt ein neues Gerät kaufen (LTE Router vom aktuellen Stand sind meist nicht besonders günstig) nur für den Fall der Fälle.
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49897	22.06.2020 - 12:38 Die Geräte vom Provider sind halt auch alle Crap und sollten rasch verschwinden. In Deutschland ist der Routerzwang ja per gesetz abgeschafft worden (aber es gibt einen Modemzwang) Den meisten ist es halt egal - hab auch lange dd-wrt, Tomato oder OpenWRT verwendet. Mit sehr wechselhafter Erfahrung (je nach dem wie gut der Hardware Blob war den die Chipherstelle rher gegeben haben). Mittlerweile bin ich bei Mikrotik und Ubiquiti gelandet. Sind bei Bugs zwar auch etwas träge, aber security wird rasch gefixt (theoretisch mit Linux unterbau, aber aktuellste sourcen sind nicht immer so leicht zu bekommen)
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5209	22.06.2020 - 15:21 ubiquiti braucht doch ein permanent laufendes java-tool im hintergrund. wie wollen die security machen?
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49897	22.06.2020 - 15:38 Der Controller muss ned dauernd laufen (solang man keinen Gastzugang oder Radius verwendet). Aber was hast Java mit Security zu tun? Auch damit kann man sichere Applikationen bauen

Kritische 0day-Lücke in 79 Netgear-Router-Modellen

Forum Index > Hardware > Peripherie > Netzwerktechnik

enjoy

enjoy

smashIt

Viper780

tialk

InfiX

enjoy

daisho

davebastard

LJ

COLOSSUS

daisho

Viper780

smashIt

Viper780