Ein Sicherheitsforscher hat im WLAN-Router Motorola MR2600 eine Lücke offengelegt, über die sich das Gerät ohne Zugangsdaten vollständig übernehmen lässt. Einen Patch wird es nicht geben, denn der Router ist abgekündigt und keiner der beteiligten Konzerne fühlt sich zuständig.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDer Motorola-Router MR2600 lässt sich aus der Ferne kapern, ohne dass ein Angreifer auch nur ein Passwort kennt. Der Forscher hat den kompletten Angriffsweg Anfang Juli 2026 öffentlich gemacht, nachdem beide Motorola-Sparten eine Zuständigkeit von sich gewiesen hatten. Das eigentliche Problem sitzt tiefer als die Lücke selbst.
Das Wichtigste in Kürze
- Zwei verkettete Schwachstellen heben die Anmeldung aus und erlauben unauthentifizierte Codeausführung auf dem Router.
- Einen Patch gibt es nicht, das Modell ist abgekündigt und das automatische Update-System liegt still.
- Rund 40 Geräte sind laut dem Forscher offen aus dem Internet erreichbar und damit direkt angreifbar.
- Der Name Motorola ist nur lizenziert, der tatsächliche Hersteller ist über Minim in die Nähe der Insolvenz geraten und 2024 an einen Energiekonzern verkauft worden.
Wie kapern Angreifer den Router ohne Passwort?

Der Angriff verkettet zwei Fehler: Der Router speichert eine hochgeladene Firmware-Datei, bevor er die Anmeldung prüft, und seine Zugriffskontrolle lässt sich mit einem angehängten Parameter austricksen. Zusammen genügt das, um eigene Firmware einzuspielen.
Der erste Fehler steckt im Upload. Die Firmware-Prüfung vergleicht die SEAMA-Signatur mit den Rohdaten statt mit dem ausgewerteten Formularfeld, und die Datei landet schon vor der Passwortkontrolle im Speicher. Das ist ein klassisches Reihenfolge-Problem, bei dem der Router schreibt, bevor er die Berechtigung prüft.
Der zweite Fehler betrifft die Zugriffskontrolle selbst. Erlaubte Adressen prüft der Router per Teilstring, gesperrte dagegen nur bei exakter Übereinstimmung. Hängt ein Angreifer an eine gesperrte Adresse einen erlaubten Parameter an, rutscht er durch diese Vergleichslücke und stößt anschließend die Freigabe der manipulierten Firmware an.[1]
Warum liefert niemand einen Patch?
Weil der MR2600 abgekündigt ist und hinter dem Markennamen Motorola kein handelnder Hersteller mehr steht. Motorola lizenziert den Namen für Heimnetz-Hardware nur, der eigentliche Produzent ist in wirtschaftliche Schieflage geraten und in fremde Hände übergegangen.
Der Forscher hat nach eigener Darstellung beide Motorola-Sparten kontaktiert. Motorola Mobility hat auf die Zuständigkeit für Telefone verwiesen, Motorola Solutions hat den Fall zurückgereicht. Am Ende war niemand zuständig, und das automatische Update ist über eine längst aufgegebene Domain gelaufen.
Dahinter steht eine Kette von Eigentümerwechseln. Die Marke Motorola für Router und Modems ist an den Hersteller Zoom Telephonics lizenziert, der Ende 2020 mit Minim verschmolzen ist. Minim hat im September 2023 rund 78 Prozent der Belegschaft gestrichen und eine Insolvenz geprüft, bevor die Reste 2024 an den Energiekonzern e2Companies gegangen sind.
Für die Sicherheitspflege ist damit eine Verantwortungslücke geblieben. Der MR2600 wirkt für Käufer wie eine vertraute Weltmarke, doch greifbar ist am Ende kein Unternehmen mehr. Eine geordnete Meldekette, wie sie hinter professionellen Bug-Bounty-Programmen steht, hat hier gefehlt.
Ein Markenname auf dem Gehäuse ersetzt keine Update-Zusage. Käufer sollten künftig fragen, wie lange ein Gerät Sicherheitsupdates bekommt, und nicht nur, welches Logo darauf klebt.
— Markus Seyfferth, Chefredakteur Dr. Web
Was heißt das für Nutzer in Deutschland?
Abgekündigte Router gehören ersetzt oder zumindest von der Fernwartung getrennt. Ab Dezember 2027 verpflichtet der EU Cyber Resilience Act Hersteller erstmals dazu, vernetzte Geräte über ihre erwartete Lebensdauer mit Sicherheitsupdates zu versorgen.
Der MR2600 ist kein Einzelfall, sondern Teil eines Musters. Praktisch im Jahrestakt tauchen unauthentifizierte Lücken in Consumer-Routern auf, und ausgemusterte Geräte bleiben oft jahrelang am Netz. Kompromittierte Heimrouter wandern dann in Botnetze oder dienen als Wohn-IP-Tarnung für Scraper. Daraus entsteht eine langlebige Angriffsfläche.
Für Heim- und Firmennetze zählt zuerst die Fernwartung. Ist das Remote-Management aus dem Internet erreichbar, wird aus einer lokalen Lücke ein globales Risiko, wie schon andere lange schlummernde Schwachstellen gezeigt haben. Der Router ist zugleich das Tor zum gesamten Heim- und Homeoffice-Netz.
- Prüfen Sie, ob Ihr Router noch Firmware-Updates erhält, und planen Sie bei abgekündigten Modellen den Austausch.
- Deaktivieren Sie Fernzugriff und Remote-Management, solange Sie beides nicht zwingend brauchen.
- Achten Sie beim Neukauf auf eine verbindliche Zusage zur Dauer der Sicherheitsupdates.
- Erwägen Sie bei kompatibler Hardware eine alternative Firmware wie OpenWrt.
Regulatorisch schließt der Cyber Resilience Act diese Lücke ab dem 11. Dezember 2027. Hersteller müssen Schwachstellen dann aktiv behandeln und Updates über die erwartete Nutzungsdauer liefern, Meldepflichten greifen schon ab dem 11. September 2026. Für heute im Einsatz befindliche Altgeräte hilft das nicht, weshalb der prüfende Blick auf das eigene Gerät die einzige kurzfristige Absicherung bleibt.
Quelle
[1] mrbruh: „Unauthenticated RCE in Motorola’s MR2600 Router“ ↩
Mehr Newshunger?
- Smart Home Sicherheit: Wenn das Homeoffice zum Risiko wird
- GhostLock: Eine Stack-Use-after-free steckte 15 Jahre in fast jedem Linux-Kernel
- Residential Proxies: Wie sich KI-Scraper hinter Millionen Privat-IPs verstecken
- QuadRF: Ein Open-Source-Radar macht WLAN-Signale sichtbar und spürt Drohnen auf
- Fünf neue Prompt-Injection-Angriffe: Wie sich KI-Agenten heimlich umprogrammieren lassen
- Bug Bounty statt Jahres-Pentest: Was hinter der DBAG-Wette auf Ethical Hacking steckt