In Routern und IP-Kameras des Anbieters Trendnet gibt es mehrere schwere Sicherheitslücken, die eine Command-Injection ermöglichen. Hier ein kurzer Überblick.
Anzeige
Ich weiß nicht, ob Router und IP-Kameras von Trendnet in Deutschland breit im Einsatz sind. Zumindest gibt es hier einen deutschsprachigen Artikel zu Einstellungen und auf amazon.de werden die Geräte auch angeboten.
Gleich mehrere Schwachstellen
Auf seclists.org wurde gerade die Meldung Multiple vulnerabilities found in Trendnet routers and IP Cameras. von Sicherheitsforschern veröffentlicht, die sich auf Schwachstellen in der Firmware dieser Geräte bezieht. Die Sicherheitsforscher haben mehrere Schwachstellen, darunter Command Injection, Buffer Overflow und reflektierende XSS-Schwachstellen in den folgenden TRENDnet-Geräten gefunden:
- Router: TEW-634GRU, TEW-673GRU, TEW-632BRP
- IP-Kameras: TV-IP110WN, TV-IP121WN
Die Sicherheitslücken wurden mit einem von den Forschern entwickelten dynamischen Analysetool für Embedded Devices gefunden. Für die Schwachstellen gibt es jeweils einen Proof of Concept (POC), die veröffentlicht wurden.
Keine Patches, da End of Life
Die Schwachstellen wurden dem Hersteller am 3. Dezember 2018 gemeldet. Dieser antwortete am 05.12.2018, dass die Produkte das Ende der Lebensdauer erreicht haben, keine Firmware-Updates mehr erhalten. Die Schwachstellen werden also nicht mehr gepatcht. Details lassen sich der Sicherheitsmeldung auf seclists.org entnehmen.
Anzeige
Anzeige
Aktuell gibt es die angegebenen Geräte nicht auf Amazon (wenn man nach den angegebenen Typen sucht). Nutzt die jemand freiwillig in Deutschland? Werden/wurden die von irgendwelchen Providern angeboten?
Die Aktuellen Geräte gibt es bei verschiedenen Deutschen Händlern, hauptsächlich Online.