Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Hardware » Netwerken » 'Miljoenen routers kwetsbaar voor aanval via dns-rebinding'

'Miljoenen routers kwetsbaar voor aanval via dns-rebinding'

Door Dimitri Reijerman, maandag 19 juli 2010 16:38, views: 27.706

Een beveiligingsonderzoeker heeft in populaire routers een lek gevonden dat het mogelijk maakt om via dns-rebinding aanvallen uit te voeren. Door de publiciteit te zoeken zou hij routerfabrikanten aanzetten om het probleem te verhelpen.

Onder de titel How to Hack Millions of Routers geeft Craig Heffne, medewerker van beveiligingsfirma Seismic, op de Black Hat-conferentie eind deze maand in Las Vegas een lezing. De onderzoeker stelt dat een aantal populaire routers kwetsbaar is voor een variant op een al vaker beproefde aanvalsmethode, de zogeheten dns-rebinding-methode. De routers worden verkocht door onder andere Linksys en Netgear.

Het same origin policy-mechanisme moet verhinderen dat scripts, geschreven in bijvoorbeeld javascript, ook pagina's kunnen benaderen die buiten het oorspronkelijke domein vallen. Bij dns-rebinding kan een aanvaller dit beveiligingsmechanisme van browsers echter omzeilen door een dns-server te manipuleren.

De door Seismic ontwikkelde dns-rebinding-aanval zou vooral effectief zijn bij routers die nog zijn voorzien van een standaardwachtwoord, omdat de ingebouwde webserver die de instellingenschermen toont, kan worden gemanipuleerd. Zo zijn de ip-adressen van de dns-servers te veranderen naar die van een kwaadaardige server. Hierdoor kan malware worden geïnstalleerd of is dataverkeer af te luisteren.

Er is een lijst vrijgegeven met geteste routers, waarvan ongeveer de helft kwetsbaar blijkt voor de aanvalsmethode. Daarbij zou het niet uitmaken of de originele firmware of alternatieve firmware zoals OpenWRT of DD-WRT wordt gebruikt, zo schrijft ArsTechnica. Op Black Hat zal ook een proof of concept worden uitgebracht. Heffne stelt dat hij na lang wachten de kwetsbaarheid toch heeft geopenbaard om routerfabrikanten te dwingen om het probleem met patches te verhelpen.

Kwetsbare router in South Park

Volgende 17:13 Taiwan Computer Warehouse is failliet
Vorige 16:03 Apple: iPad vanaf vrijdag in Nederland en België verkrijgbaar
Advertentie

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 77 reacties zichtbaar770 Off-topic / Irrelevant: 66 reacties zichtbaar66+1 On-topic: 43 reacties zichtbaar43+2 Informatief: 6 reacties zichtbaar6+3 Spotlight: 1 reactie zichtbaar1
«  1  2  3  »

Door moreasy, maandag 19 juli 2010 16:40

Score: 1
Alweer een reden om het standaard wachtwoord van je router te wijzigen.

Door Remco Kramer, maandag 19 juli 2010 16:49

Score: 1
De door Seismic ontwikkelde dns-rebinding-aanval zou vooral effectief zijn bij routers die nog zijn voorzien van een standaardwachtwoord
Daar staat anders "vooral effectief". Dat betekent bij mij dat het veranderen van het wachtwoord de effectiviteit verlaagd, maar niet nihil maakt. Ik vraag me dus af in hoeverre dit verlaagd word en of het kiezen van een moelijker wachtwoord het ook inderdaad moeilijker maakt of dat het niet veel uitmaakt.

Door Orion84, maandag 19 juli 2010 16:58

Score: 1
Er zijn ook routers waarbij de wachtwoord login sowieso al te omzeilen valt wegens fouten in de webinterface. Bij die routers hoeft er dus geen default wachtwoord aanwezig te zijn.

Door miw, maandag 19 juli 2010 18:02

Score: 1
Het "vooral effectief" slaat op de opmerking dat de webserver van de router zelf lek kan zijn, waardoor kennis van het wachtwoord dus inderdaad tamelijk overbodig is. Bij een meer robuuste webserver, heeft de aanvaller dus wel het wachtwoord nodig. Als de default waarde niet aanwezig is, faalt deze aanval.

Door RutgerM, maandag 19 juli 2010 16:53

Score: 1
Die redenen zijn er sowieso wel... zeker als je management via wlan automatisch aan hebt staan in zo'n router!!

Door Mathijs, dinsdag 20 juli 2010 13:20

Score: 0
Tja, ik zie daardoor niet eens de nieuwswaarde hiervan. Wanneer de toegang tot je configuratie vanaf buiten open staat en je gebruikt het standaardwachtwoord, vraag je om dit soort zaken.

Ik kan nog wel meer zaken bedenken die uitgevoerd kunnen worden wanneer je router voor heel de wereld te misbruiken valt door het standaard wachtwoord.

Een patch hiervoor helpt in dit geval ook niets voor diegenen die nu al zo'n ding hebben.
Dit soort mensen dat het standaard wachtwoord niet wijzigt, update al zeker de firmware niet.
Daarnaast is het bij dat soort mensen ook vrij makkelijk om ze ergens op te laten klikken, dus vroeg of laat vallen ze toch wel ten prooi.

Door Niekk, maandag 19 juli 2010 16:44

Score: 1
Maarja, als de hacker al toegang heeft tot de router (en dus die gegevens kan wijzigen), denk ik dat je sowieso al de pineut bent.
De hacker kan dan wel even de DNS settings aanpassen, maar het is in mijn ogen wel naief om te geloven dat dat het enige is wat die hacker dan gaat doen. Mensen moeten gewoon hun wachtwoord aanpassen!

Door Keypunchie, maandag 19 juli 2010 16:47

Score: 1
Iemand die DD-WRT erop heeft gezet zal ook het wachtwoord wel hebben aangepast. Uit het artikel begrijp ik dat het ook zou werken zonder dat je toegang tot de router nodig hebt (anders kun je idd. nog veel meer grappen uithalen).

Wat ik krom vind:
Mensen die hun default-wachtwoord niet veranderen, gaan ook geen patch installeren... dus Craig Heffne gebruikt een flauw argument om het lek te openbaren. (Niet dat ik hem tegen ga houden).

(In de VS viel me op hoeveel netwerken nog met WEP waren "beveiligd").

[Reactie gewijzigd door Keypunchie op maandag 19 juli 2010 16:49]

Door Niekk, maandag 19 juli 2010 16:50

Score: 1
In het artikel staat beschreven dat het niet uitmaakt wat voor firmware er op staat; dus geld (in mijn ogen) het argument dat wachtwoorden gewijzigd dienen te worden voor iedereen.

Door bouwfraude, maandag 19 juli 2010 18:25

Score: 0
Wat is er mis met WEP? :) Mijn Netgear accesspoint ondersteunt niets anders.
Om voor die enkele keer dat het aanstaat een nieuwe te kopen.

Door Glashelder, maandag 19 juli 2010 18:51

Score: 0
Kom nou toch, dit soort opmerkingen horen toch niet thuis op een website als dit. Je weet zelf ook wel dat WEP binnen no-time gekraakt kan worden. De meeste mensen zetten hun AP niet uit als ze hem niet gebruiken. Dat het in jou geval dan niet uitmaakt doet niets af aan het feit dat er dus wel degelijk wat mis is met WEP, wat het voor de meeste situaties ongeschikt maakt.

Dat jouw AP niets anders ondersteunt maakt het er ook niet veiliger op, maar ik neem aan dat je dat ook wel door had ;)

Door Top-Rob, maandag 19 juli 2010 21:41

Score: 1
Het is nergens voor nodig zo aanmatigend te reageren: niet iedere tweaker heeft automatisch verstand van àlle takken van techniek.

WEP is inderdaad onveilig, maar helaas soms nodig (bijv. als je een DS hebt en je wil ermee online kunnen, of een wat oudere laptop/router hebt, etc.). Dat je dan hierom 'vast zit aan WEP' maakt het er inderdaad nog niet beter op, maar het verklaard wel voor een groot deel waarom zelfs mensen met verstand van zaken dit beveiligingsprotocol nog gebruiken.

Door Filip Maurits, maandag 19 juli 2010 23:46

Score: 1
Compatibiliteit is ook de reden waarom de meeste providers standaard WEP configureren op de draadloze modem/routers (of "boxen") die ze leveren... :-/

Door Soundless, dinsdag 20 juli 2010 07:59

Score: 1
Als je de MACfilter aanzet moet dat toch geen probleem zijn of is dat ook zo onveilig?

Dat is namelijk wat ik eerst deed. Nu heb ik gewoon wpa2 aangezet en worden de ds en wii simpelweg niet online gebruikt.. (ook offline haast niet maar goed)

Door teaser, dinsdag 20 juli 2010 08:20

Score: 1
MAC filtering is nog makkelijker te omzeilen dan WEP encryptie. Een beetje wardriver kan zonder problemen sniffen welk jouw MAC address is en dit dan gebruiken om verbinding te maken met jouw netwerk. Veel ethernet drivers laten gewoon toe dat je het MAC address van je interface kan wijzigen.

Door FireDrunk, dinsdag 20 juli 2010 08:48

Score: 1
WEP en MAC-filter beide tegelijk aan, maakt het al een stuk moeilijker om te sniffen... MAC's zijn ook gewoon versleuteld bij WEP...

Door Subpy, dinsdag 20 juli 2010 09:14

Score: 1
Het maakt het niet echt moeilijker.. Het is alleen weer een stap extra.. Dus men is net iets langer bezig.. Kan een rede zijn om het volgende netwerkt dan maar te proberen :p

Maar veilig is het niet. Maar het blijft natuurlijk zo als ze echt bij je naar binnen willen dat lukt het. Wat natuurlijk niet inhoud dat je de deur dan maar niet op slot moet doen.

Door cdwave, dinsdag 20 juli 2010 14:34

Score: 1
I don't have to outrun the bear, just you.

Zelfde geldt hier. Het hoeft niet potdicht te zitten, genoeg om iemand te ontmoedigen is genoeg.

En dan nog... kan iemand in een busje voor de deur gaan zitten internetten, nou nou. Ik zou 'm nog vragen offie een bakkie lust :)

Want de rest van je netwerk kun je ook weer op andere manieren dicht zetten. Je zou bijvoorbeeld IPSec kunnen gebruiken...

Door Orion84, maandag 19 juli 2010 17:04

Score: 2
Het is wel de meest interessante aanval om grootschalig uit te voeren. Iemands DNS server aanpassen naar een server die de aanvaller beheert biedt namelijk de mogelijkheid om bezoekjes aan allerlei vertrouwde sites te redirecten naar kwaadaardige servers die zich voordoen als de vertrouwde site maar ondertussen bijvoorbeeld malware installeren of passwords of creditcard gegevens stelen.

Dat je ook de WiFi-key kan jatten is leuk voor een gerichte aanval, maar niet voor de bulk van de internetcriminelen. Die zitten volgens mij toch vooral in de malware verspreiding in combinatie met botnets en dergelijke zooi.

Door leuk_he, maandag 19 juli 2010 17:08

Score: 1
De hacker moet niet de DNS settings van het modem aanpassen, de hacker gaat de DNS settings van de site (waarop jij klikt) aanpassen gedurende deze aanval. De hacker heeft volledige controle over deze site, die gebruikt wordt om jouw modem aan te kunnen vallen.

Het doel van de hack kan inderdaad zijn om de dns settings van jouw router aan ta passen, maar daar gaat het verhaal niet over. Maar goed, als hij dan uiteindleijk je dns settings heeft aangepast, wordt je inlog naar www.jouwbank.nl geleid via de site van de hacker. rara, wat gaat die dan doen???

Door deadinspace, maandag 19 juli 2010 19:36

Score: 1
Maar goed, als hij dan uiteindleijk je dns settings heeft aangepast, wordt je inlog naar www.jouwbank.nl geleid via de site van de hacker. rara, wat gaat die dan doen???
Niet zoveel, als je zelf een beetje oplet, aangezien je dan OF de internetbankieren website niet over https benadert OF je een SSL certificate error krijgt.

Sommige mensen waren niet zo te spreken over de 3x kloppen campagne, maar daar proberen ze je wel te leren dat je op die (fundamentele) dingen moet letten...

Door postbus51, maandag 19 juli 2010 16:45

Score: 0
Lekker vacanze , alleen wormen vi(russen) en dan nu ook dns ellende

vandaar dus steeds die prono web-sites

Door Remco Kramer, maandag 19 juli 2010 16:52

Score: 0
@postbus51
vandaar dus steeds die prono web-sites
nah, dat komt omdat je regelmatig op de verkeerde link in je favorieten klikt :)

@Keypunchie
Wat ik krom vind:
Mensen die hun default-wachtwoord niet veranderen, gaan ook geen patch installeren... dus Craig Heffne gebruikt een flauw argument om het lek te openbaren. (Niet dat ik hem tegen ga houden).
Maar als het 'bekent' word, dus nieuws/kranten haalt, worden mensen zich wel wat meer bewuster misschien? Dan gaat het vanzelf wel het kringetje rond.

[Reactie gewijzigd door Remco Kramer op maandag 19 juli 2010 16:53]

Door MrMaximus, maandag 19 juli 2010 16:46

Score: 0
Wel toepasselijk plaatje ;)

Door Whaa, maandag 19 juli 2010 16:46

Score: 1
Inderdaad ALTIJD het wachtwoord wijzigen. Maar ook niet vergeten remote management vanaf de internet kant uit te zetten. Als deze optie in dat type router zit. Voor 95 procent van de gebruikers is dit niet nodig.

Door koeny 3, maandag 19 juli 2010 16:47

Score: 0
Ik mis de Apple routers in de lijst?

Door Aaargh!, maandag 19 juli 2010 16:51

Score: 1
Apple's accesspoints/routers hebben geen web interface maar worden met een applicatie (Airport Utility) ingesteld. Dit maakt het een stuk lastiger om via een javascript zo'n ding te benaderen.

Door CyBeR, maandag 19 juli 2010 17:11

Score: 1
Die applicatie werkt met SNMP, wat volgens mij gewoon compleet niet mogelijk is om te gebruiken vanuit javascript.

Door Commendatore, maandag 19 juli 2010 16:52

Score: 0
Er staan sowieso maar weinig routers in.

Door 247pro, maandag 19 juli 2010 18:14

Score: 1
Ik neem aan dat dit gewoon een lijstje is van routers die ze getest hebben, en ik neem aan dat een fabrikant alleen wijzigingen aanmaakt in de interface bij de nieuwere generatie routers in plaats van het compleet te herschrijven waardoor deze techniek op veel meer modellen van toepassing is.

Door Shol, maandag 19 juli 2010 16:49

Score: 2
In het artikel staat dat deze aanvalsmethode werkt bij routers van o.a. Netgear en linksys.

In die vrijgegeven spreadsheat staat echter bij de geteste netgear routers: successfull: NO

Door hijglander, maandag 19 juli 2010 21:03

Score: 1
Viel mij dus ook al op... beetje vreemd, misschien heeft de auteur wel een hekel aan Netgear.

Door DonJunior, maandag 19 juli 2010 16:50

Score: 1
IN het bericht staat: "De routers worden verkocht door onder andere Linksys en Netgear."
Maar als ik in de lijst kijk welke routers dan allemaal kwetsbaar zijn, staat er bij geen enkele Netgear router een 'Succesfull = Yes'.

Een resultaat van 17 op de 30 routers is ansich nog best veel. Niet een ramp, maar toch.
Zoals 'moreasy' ook al aangeeft, gewoon je wachtwoord wijzigen op je router. Dit scheelt al een heleboel.
Sowieso moet dit eigenlijk verplicht worden bij routers, hoeveel mensen onveilig op het internet zitten zonder dat ze het door hebben (bijvoorbeeld opa's en oma's die geen verstand hebben van die dingen en al blij zijn als het werkt) eigenlijk zou de installateur verplicht het standaard wachtwoord moeten wijzigen voordat hij überhaupt aan de slag kan met het instellen van de router.

Door RTG, maandag 19 juli 2010 16:51

Score: 1
Even ter info... "YES" in de gelinkte lijst betekend dat de betreffende router succesvol aangevallen is, niet dat deze de test succesvol heeft doorstaan.

Door dusti, maandag 19 juli 2010 16:51

Score: 1
Als die routers standaard niet te (her)configureren zijn vanaf een WAN of wireless IP zou je ook al heel wat problemen voorkomen.

Als de optie om router van buitenaf te laten benaderen pas gegeven wordt als het standaard wachtwoord werd gewijzigd bescherm je de leken tegen zichzelf.

Zo vandaag ook nog gehoord van collega: "ze zijn telenet komen configureren na onze verhuis en die installateur zei nog iets over draadloze beveiliging die we moesten instellen"
Waarom worden die mannen dan betaald? om wat kabeltjes in te pluggen?

Door catfish, maandag 19 juli 2010 17:00

Score: 1
de installateur wordt inderdaad betaald om het boeltje aan te sluiten, NIET om het boeltje te beveiligen
dat kan wel, maar iedereen wil tegenwoordig de "gratis" (lees: minimale) installatie en dan krijg je dit soort dingen

Door jeroenr, maandag 19 juli 2010 17:09

Score: 1
Als die routers standaard niet te (her)configureren zijn vanaf een WAN of wireless IP zou je ook al heel wat problemen voorkomen.
Het gaat er juist om dat een cracker via een truc je router van binnenuit kan benaderen.

Door cdwave, dinsdag 20 juli 2010 14:39

Score: 1
Een handbediende schakelaar op de router, DAT zou pas veilig zijn. En dan liefst eentje die je na een paar minuten opnieuw moet indrukken.

Ik schrijf het onbegrijpelijke admin wachtwoord altijd met een marker op de router. Voor zwarte routers heb ik zelfs een zilveren marker gekocht :)
Komt op hetzelfde neer.
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 17:13 Taiwan Computer Warehouse is failliet
Vorige 16:03 Apple: iPad vanaf vrijdag in Nederland en België verkrijgbaar
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011