Wie eine schlechte Zusammenarbeit mit Sicherheitsforschern und Community oft auch zu negativen Folgen für Hersteller führen kann, sieht man an einem aktuellen Fall bei den Routern von Netgear.
Offenbar verteilt Netgear die privaten Schlüssel für HTTPS-Verbindungen mit seiner Firmware. Jetzt haben wei Sicherheitsforscher diese nach knapp einer Woche nach ihrer Entdeckung direkt selbst auf Github veröffentlicht. Zu den Grpnden dafür gehörte offenbar auch großes Maß an Frustration über Netgears Umgang mit Sicherheitslücken.
Wofür braucht der Router ein SSH-Zertifikat?
Um den Umgang mit dem Login zu den Admin-Seiten der Router für Endnutzer einfach zu halten, nutzen viele der Hersteller wie auch Netgear dafür statt einer internen IP-Adresse eine spezielle Domain.
Dummerweise führen die Änderungen in Browsern, HTTP-Verbindungen als nicht mehr sicher anzuzeigen und auch Passwörter nicht automatisch zu vervollständigen und vor einem Login zu warnen, zu einigen Problemen.
Deshalb hat sich Netgear wohl dazu entschlossen, diese spezielle Domain per HTTPS zur Verfügung zu stellen und zu dem Zweck mit einem Zertifikat abzusichern, das von einer CA ausgestellt wurde.
Dann vertrauen die Browser dem Zertifikat und zeigen die Login-Seite als abgesichert an. Damit das aber auch vom Router selbst so genutzt werden kann, muss auch der private Schlüssel für das zugrinde liegende Zertifikat auch mit der Firmware des Routers ausgeliefert werden.
Und das ist gefährlich, denn mit dem Zertifikat und dem privaten Schlüssel könnten Cyberkriminelle theoretisch Man-in-the-Middle-Angriffe durchführen. Im konkreten Fall dürfte die praktische Durchführbarkeit eines erfolgreichen Angriffes zwar kompliziert werden, schreibt der Mozilla-Entwickler Adam Roach. Trotzdem sei es prinzipiell keine gute Idee, dem Netgear-Zertifikat noch zu vertrauen, weil nun der private Schlüssel dafür bekannt und damit kompromittiert sei. Dies sollte eigentlich auch dazu führen, dass die ausstellende CA es zurückziehen sollte.
Die Veröffentlichung vor der Verfügbarkeit eines Patches
Bei der schnellen, einseitigen Veröffentlichung der privaten Schlüssel, ohne dass der Hersteller darauf angemessen reagieren konnte, ist besonders die Begründung der Sicherheitsforscher interessant.
Diese schreiben zwar, dass sie trotz mehrmaliger Versuche keinen direkten Kontakt mit dem Unternehmen aufbauen konnten, allerdings die beiden Forscher auch nur vier Werktage dafür abgewartet.
Zur Begründung weisen die Forscher aber darauf hin, dass die öffentlichen Bug-Bounty-Programme von Netgear eine Veröffentlichung der Details zu Sicherheitslücken generell verbieten.
Die Forscher vertreten aber die Auffassung, “dass die Öffentlichkeit über diese Zertifikatslecks Bescheid wissen sollte, um sich angemessen zu schützen, und dass die fraglichen Zertifikate widerrufen werden sollten, damit große Browser ihnen nicht mehr vertrauen”. Das ließ sich aber im Rahmen des Bug-Bounty-Programmes von Netgear nicht sicherstellen lassen.
