– Å utnytte dette sikkerhetshullet er ganske enkelt. Brukere bør nøye vurdere om de kan slutte å bruke enheten og slå den av inntil en fiks er klar, skriver sikkerhetsovervåkingssenteret CERT.
CERT følger med på it-sikkerhet og er underlagt amerikanske myndigheter.
De har gitt sikkerhetsfeilen en styrke på 9,3 i en skala som går til 10.
Kan brukes til svindelforsøk
Netgear er en stor produsent av datautstyr. Bredbåndruterne som er påvirket har vært i salg i Norges største elektronikkjeder som Elkjøp, Expert og Clas Ohlson.
Dermed har mange norske hjem et slikt produkt.
Sikkerhetshullet gjør det mulig å få ruteren til å kjøre programkode uten at det oppgis passord, og koden kan ta over hele boksen.
– Sikkerhetsfeilen betyr at man ved å besøke feil nettsted kan gi uvedkommende kontroll over ruteren, sier sikkerhetsrådgiver Erlend Oftedal til NRK og forklarer at dette også kan skje via sosiale medier eller e-post.
Erlend Oftedal forteller at tidligere svakheter i brådbåndsrutere har vært brukt i angrep med forsøk på nettbanksvindel.
Foto: Frode NerbråtenHan har jobbet mye med sikkerhet i programvare.
– Dette er ganske alvorlig for dem som har denne typen ruter, da angrepet veldig lett å utføre. Fra et tidligere angrep i Brasil har angrep mot rutere blitt brukt for å kunne videresende ofrene til svindel-sider som utgir seg for å være nettbanker. Store angrep mot rutere har også vært utført i Polen, forteller han.
– Hva bør folk gjøre?
– I den grad man kan klare seg uten ruteren inntil leverandøren har en fiks klar, er jo det tryggeste å koble den fra, sier Oftedal. For dem som ikke kan klare seg uten finnes det en midlertidig fiks, og bruker man den burde man jevnlig sjekke at innstillingen ikke har stilt seg tilbake til usikker innstilling, ifølge sikkerhetsrådgiveren.
Ingen fiks foreløpig
Sikkerhetshullet ble gjort kjent av en anonym utvikler i løpet av helga, og på sosiale medier hevdet han å ha forsøkt å advare Netgear om feilen allerede i august. Men feilen er ikke rettet.
For mange er bredbåndsruteren bare en boks som står og lyser inne i en bod eller et skap, men boksene er i dag små datamaskiner som også må få sikkerhetsoppdateringer på samme måte som mobiler og PC-er.
Foto: Matt Rourke / APProdusenten Netgear publiserte kort tid etter en sikkerhetsadvarsel på sine nettsider. Der de advarer om en mulig feil.
– Vi takker for alle som kommer til oss med informasjon om sikkerheten ved våre produkter. Netgear overvåker også selv for både kjente og ukjente trusler, skriver selskapet i meldingen på sine nettsider.
Det er dog ikke kommet noen programvareoppdatering som retter feilen.
NRK har bedt om en kommentar fra selskapet, men alt de har å si er at de er opptatt av å opprettholde tilliten hos sine kunder.
– Netgear undersøker nå det som er blitt rapportert, og vil oppdatere våre nettsider med mer infomasjon når vi har det. Akkurat nå har vi ikke mer å meddele, skriver en representant for selskapet til NRK.
Den norske sikkerhetsrådgivere sier det uansett kan være vanskelig å få alle berørte til å oppgradere ruterne sine.
– En utfordring er at, selv om vi husker å oppdatere mobilene og laptopene våre, er det nok mange som ikke har fokus på oppgradering av ruterne sine, sier sikkerhetsrådgiver Erlend Oftedal.
Enn så lenge finnes det for teknisk interesserte en veldig midlertidig fiks som CERT også viser til. Fiksen skrur av den interne administrasjonssiden for boksen, men feilen kommer tilbake hver gang bredbåndsruteren restarter.
Kommunikasjonssjef Øystein Schmidt i Elkjøp håper en sikkerhetsoppdatering er på plass raskt fra Netgear.
Foto: ElkjøpNRK har også forsøkt å få en kommentar fra elektronikkjedene Elkjøp, Expert og Clas Ohlson som selger produktene i Norge om hva de gjør og hvor mange som er berørt i Norge. Clas Ohlson henviser til produsenten.
Elkjøp svarer følgende per e-post:
– Vi har blitt gjort oppmerksom på denne saken fra Netgear sentralt her i Norge, og de jobber nå for fullt med å ferdigstille en god og permanent løsning for kundene våre. Vi setter pris på at Netgear tar tak i dette raskt og at de finner en solid løsning på dette, da deres produkter er blant de aller mest populære vi har innenfor dette segmentet, skriver kommunikasjonssjef Øystein Schmidt i Elkjøp.
Konkurrenten Expert henviser også til en sikkerhetsoppdatering som er ventet snarlig. Samtidig sier de at kunder også kan returnere produkter.
– Om kunder føler seg usikre, kan de selvsagt slå av ruteren i påvente av oppdatering, selv om risikoen ansees å være minimal for at noe skal skje fra produsentens side. Netgear vil selvsagt ta vare på de kundene som ønsker å returnere ruteren på grunn av dette, sier Alexander von Krogh i Expert til NRK per e-post.
Sikkerhetsfiks snart klar
Oppdatering 13. desember 2016 kl. 11.00:
Netgear Norden opplyser til NRK at teknikerne i selskapet er godt i gang med å lage en fiks som skal kunne rette problemet.
– Vi har allerede fått laget en testversjon av den nye programvaren for noen av modellene. En permament oppdatering kommer i løpet av veldig kort tid. Netgear har et eget ingeniørteam som jobber utelukkende med sikkerhetsspørsmål og tar dette ekstremt seriøst, sier Pål Vatneberg i Netgears Norden kontor til NRK.
I løpet av natten har også Netgear fått gjenskapt sikkerhetsfeilen i sine testsystemer, og de har dermed kartlagt hvilke modeller som er sårbare.
Av modellene som selges i Norge har disse sikkerhetsfeilen og bør oppdateres så raskt det lar seg gjøre: R6250, R6400, R7000, R7100LG og R8000
I tillegg er ytterligere tre modeller som selges i USA sårbare for sikkerhetshullet, ifølge selskapet.
Kunder anbefales av selskapet å følge med på denne siden for å få vite om når en sikkerhetsfiks er klar.
Også Clas Ohlson som har bredbåndsruterne i sine hyller har fått undersøkt mer siden i går. De har også fått den nye informasjonen fra produsenten, og sier de nå gir alle sine selgere informasjon om hvordan de kan hjelpe kunder som er bekymret.
– Vi har informert butikkene og bedt våre butikkselgere hjelpe våre kunder som har spørsmål. Våre butikkselgere gir informasjon om hvor kunden kan laste ned ny programvare og anbefaler kundene våre å skru av routeren til sikkerhetsoppdateringen er på plass, sier Camilla Tully som er kommunikasjonsrådgiver og pressekontakt for Norge i Clas Ohlson til NRK.
