Thought Leadership
Der Hardware-Hersteller Acer warnt vor zwei schwerwiegenden Zero-Day-Sicherheitslücken in seinen Wave 7 Mesh-Routern und plant Patches bis Ende Juni.
Der taiwanische Hardware-Hersteller Acer hat die Existenz von zwei kritischen Zero-Day-Sicherheitslücken in seinen Mesh-Routern der Serie Wave 7 offiziell bestätigt. Ein Softwarefehler wird von Sicherheitsbehörden als Zero-Day eingestuft, wenn er bereits öffentlich bekannt ist oder ausgenutzt werden kann, bevor der Hersteller ein entsprechendes Update bereitstellt. Die beiden Schwachstellen wurden von dem Sicherheitsforscher Gergo Pap entdeckt und gemeldet.
Betroffen sind alle Geräte des Modells Wave 7, auf denen die Firmware-Version T7c_GBL_1.01.000055 oder eine ältere Version ausgeführt wird. Da für die Fehler derzeit noch keine offiziellen Korrekturen bereitstehen, arbeitet das Unternehmen an der Behebung der Probleme. Laut einer aktuellen Sicherheitsmitteilung sollen die notwendigen Firmware-Updates bis Ende Juni 2026 veröffentlicht werden.
Diebstahl von Zugangsdaten im Klartext
Die erste Schwachstelle wird unter der Kennung CVE-2026-49200 geführt und betrifft eine fehlerhafte Zugriffskontrolle im System. Nicht authentifizierte Angreifer können über das Netzwerk aus der Ferne auf vertrauliche Protokollarchive des Routers zugreifen. Acer erklärte dazu in seiner Sicherheitsbenachrichtigung: „Die Datei acer_cgi.log in der Geräte-Firmware ist ohne Authentifizierung über die Webschnittstelle zugänglich. Diese Datei enthält Klartext-Anmeldedaten (für Web und Telnet), was zu unbefugtem Systemzugriff führt.“ Durch das Auslesen dieser unverschlüsselten Protokolldaten erlangen unbefugte Personen die vollständigen administrativen Passwörter für die Weboberfläche sowie für den Telnet-Zugang des Routers, ohne dass sie sich zuvor am Gerät anmelden müssen.
Feste Verschlüsselungsschlüssel ermöglichen Backdoor-Injektion
Der zweite Softwarefehler wird unter der Kennung CVE-2026-49201 erfasst. Diese Schwachstelle resultiert aus einem fest im Programmcode hinterlegten kryptografischen Schlüssel in der Binärdatei upload.cgi, welche für die Verarbeitung der System-Backups zuständig ist. Das Unternehmen teilte hierzu mit: „Die Binärdatei upload.cgi, die für die Verarbeitung von Geräte-Backups zuständig ist, enthält einen fest codierten AES-Verschlüsselungsschlüssel.
Dies ermöglicht es einem Angreifer, System-Backups zu entschlüsseln, zu ändern und neu zu verschlüsseln, was die Injektion persistenter Backdoors erleichtert.“ Remote-Angreifer ohne Privilegien können diese Schwachstelle nutzen, um eine modifizierte Sicherungsdatei zu erstellen, die einen dauerhaften Hintertüreingang enthält, und diesen auf den Router aufzuspielen.
Empfohlene Übergangsmaßnahmen für Acer-Router-Besitzer
Bis zur Veröffentlichung der Patches am Monatsende rät der Hersteller allen betroffenen Kunden zur Umsetzung sofortiger Schutzmaßnahmen auf administrativer Ebene. Anwender sollten die Funktion zur Fernverwaltung (Remote Management) über das Internet in den Geräteeinstellungen vollständig deaktivieren. Sofern die Firmware dies unterstützt, sollte der Remote-Zugriff aus dem Internet auf explizit vertrauenswürdige IP-Adressen beschränkt werden.
Sobald die Sicherheitsupdates bereitstehen, empfiehlt Acer eine unverzügliche Aktualisierung über das Administrationsmenü. Die empfohlene Vorgehensweise umfasst folgende Schritte:
- Den Computer per WLAN oder Ethernet-Kabel mit dem Acer Wave 7 Router verbinden.
- Einen Webbrowser öffnen und die Adresse 192.168.76.1 oder acerconnect.com aufrufen.
- Die Anmeldung mit den Administrator-Zugangsdaten durchführen.
- Zum Menüpunkt Systemverwaltung navigieren und die Option Firmware-Update auswählen.
- Auf die Schaltfläche Nach Updates suchen klicken, um den Download einzuleiten.
