Buffalo Firmware

Die Schwachstelle steckt in den Web-Oberflächen der Buffalo-Router mit Firmware des Herstellers Arcadyan. Es handelt sich um einen Path-Traversal-Fehler: Über manipulierte Pfadangaben lässt sich auf Bereiche zugreifen, die eigentlich geschützt sein sollten. Dadurch kann ein Angreifer aus der Ferne und ohne gültige Zugangsdaten die Authentifizierung der Geräteverwaltung umgehen und auf vertrauliche Informationen zugreifen. Da die Anmeldung als Schutzbarriere damit hinfällig wird, erlangt ein Unbefugter Einblick in Daten oder Funktionen, die normalerweise nur angemeldeten Verwaltern offenstehen – ein typischer erster Schritt, um die Kontrolle über das Gerät auszuweiten. Betroffen ist die Web-Verwaltung der genannten Buffalo-Router; nach Angaben zur Lücke findet sich derselbe Firmware-Fehler in Routern mehrerer verschiedener Hersteller wieder, da die zugrunde liegende Arcadyan-Firmware breit eingesetzt wird. Besonders kritisch ist die Lücke, wenn die Verwaltungsoberfläche aus dem Netz erreichbar ist.