Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 79, views: 36.601 •

Miljoenen Linksys-routers zijn op afstand te hacken, claimt een beveiligingsbedrijf. Cisco zegt dat het beveiligingsprobleem al is gepatcht, maar volgens de ontdekkers van het lek staat het nog altijd open. Waar het probleem precies zit, is nog niet duidelijk.

Beveiligingsbedrijf DefenseCode stelt Cisco maanden geleden op de hoogte hebben gebracht van een beveiligingsprobleem in de Linksys WRT54GL-router. Cisco reageerde met de mededeling dat het lek in de laatste firmware-versie was opgelost, maar volgens DefenseCode is niets minder waar: in de nieuwste firmware-update zou het beveiligingsprobleem nog steeds aanwezig zijn.

DefenseCode wil nog niet kwijt waar het lek precies zit; meer details volgen over twee weken. Wel is duidelijk dat het om een beveiligingsprobleem gaat dat het aanvallers mogelijk maakt om van buiten af root-rechten te verkrijgen, en dat het lek op afstand te misbruiken is. Dat maakt het onder meer mogelijk om gebruikers af te luisteren.

Wat het probleem nog ernstiger maakt, is dat de betreffende router waarschijnlijk zeer wijdverspreid is: de router is vaak verkocht. Daarbij moet worden aangetekend dat het om een router uit 2005 gaat en veel verkochte exemplaren dus niet meer in gebruik zullen zijn. Cisco zegt tegenover The Register dat het bedrijf over de kwestie geen nieuwe mededelingen kan doen.

Reacties (79)

Nog een rede om er dd-wrt op te zetten.
Dat is toch het eerste wat je doet als je een WRT54GL koopt :)
0.01% ja, de rest van de mensen haalt hem uit de doos, stekker erin, en gaan, net zo lang totdat hij stuk is. (Dus er zullen er nog steeds een hoop in gebruik zijn)
Dat zijn dezelfde mensen die het wachtwoord gewoon op "admin" laten staan en dus sowieso niet geïnteresseerd zijn in beveiliging.
Beetje kort door de bocht, nietwaar? Er is nogal een verschil tussen een wachtwoord aanpassen en de complete firmware veranderen. Ook ik draai geen alternatieve firmware op mijn 54GL, maar heb wel sterke wachtwoorden die ik regelmatig verander.

..Dit bericht zet me natuurlijk wel aan het denken.
Het gaat erom dat deze 0.01% (bron?) net het hoofddoelwit is. Een gewone thuisgebruiker zonder verstand van beveiliging heeft over het algemeen weinig interessant internetverkeer voor een internetcrimineel. Wil je die gebruiker toch hacken, dan ben je op 10 minuten binnen door het standaard wachtwoord te raden.
" Een gewone thuisgebruiker zonder verstand van beveiliging heeft over het algemeen weinig interessant internetverkeer voor een internetcrimineel."

Dus mensen zonder verstand van beveiliging doen niet mee aan telebankieren en teleshoppen denk je?
We mogen toch hopen dat dit soort verkeer versleuteld over het net gaat, anders hebben we een veel groter probleem. Ik dacht eerder aan gevoelige emails die (in plain text) intern heen en weer gaan.

[Reactie gewijzigd door StevenLiekens op 15 januari 2013 21:48]

Probleem is dus dat als je router "geroot" is, iemand waarschijnlijk dns redirect naar een niet-zo-vriendelijke dns en/of iets als sslstrip installeert...
En jij denkt dat een Router geen interssante node in een botnet is?

Routers draaien bijna altijd op een Linux kernel legaal of illegaal. Deze apparaten zijn 24/7 aan en verbonden met het internet en hebben een draadloze verbinding waatmee de buren ook weer te hacken zijn.

Ik zou me als botnet operator niet echt meer richten op desktops. Dit soort apparaten zijn veel interssanter.

En wat val er te halen bij een 'eenvoudige' thuis gebruiker?
- Credicard gegevens
- Bankgevens
- Persoonlijke informatie
- Toegans to berdrijfsnetwerken via thuiswerk toegang
- etc.

Duizend euro stelen van duizend mensen is alweer een miljoen.

Ik zou er niet al te licht over denkten
Een custom firmware is niet illegaal. Je hebt het recht om je eigen apparatuur aan te passen en de fabrikanten brengen zelf de kernels en drivers(hooks) publiek uit omdat ze daartoe verplicht worden door de GPL licentie van de linux kernel.
Ik bedoelde juist dat de linux kernel op hardware vaak 'illegaal' door de fabrikant wordt gebruikt.

Dit omdat hij/zij zich niet aan de GPL houdt. Zij gebruiken de kernel en doen vaak ook aanpassingen en vertellen de koper daar helemaal niets over.

Heel veel android tablets/telefoons vallen gebruiken de kernel illegaal. MediaTek is denk ik de beruchtse "GPL violator" die zijn producten actief buiten azië verkoopt aan grote Andriod hardware fabrikanten.

Ik bedoelde niets te zeggen over de legaliteit van het gebruik custom firmwares.
Ik.heb tijdelijk een 54G gehad. Alle beveiliging netjes aangezet, wachtwoorden veranderd, de hele mikmak,... Na een tijdje zag ik dat mn MacBook aan een open netwerk koppelde en mn eigen netwerk niet meer bereikbaar was. Wat bleek, de 54G had zich spontaan naar de fabrieks instellngen gereset en alles stond dus wagenwijd open. Dat ding is dus heel snel de deur uit gegaan.
Op de voorkant van de router zit een oranje oplichtende knop met daarop het cisco logo. Bij het (iets te hard) raken van deze knop worden alle instellingen gereset naar fabrieksstand. Dit lijkt me een designfout.
De WRT54GL is (of eigenlijk was, omdat hij geen 802.11n bevat) zeer populair onder mensen die er een custom firmware op willen zetten. Deze versie is namelijk speciaal uitgebracht voor custom firmwares.

De WRT54GL is eigenlijk gewoon een WRT54G versie 4. Hij lag vaak naast de WRT54G v5 of hoger in de winkel, waar die laatste een tientje of wat goedkoper was.

Ik durf dus te wedden dat het percentage custom firmwares eerder 10% dan 1% is.
Of Tomato :) Die is erg simpel qua interface en erg snel en stabiel.
en verbruikt minder cpu/resources dan dd-wrt, waardoor ik in ieder geval een hogere internet snelheid aan kon. Toen was 80mbit voor die router op dd-wrt niet te doen, maar tomato had geen problemen.
Ik heb pas mijn Tomato firmware vervangen door DD-WRT.
Tomato heeft geen WPA2 in de Client-Bridge mode.

Ook mijn WAP54G met Linksys firmware heb ik vervangen door DD-WRT, want die Linksys had ook al geen WPA2.

[Reactie gewijzigd door Largy op 15 januari 2013 16:46]

Wie zegt dat het probleem niet in DD-WRT zit? Is toch een fork van de originele firmware?
Nee hoor. Ze hebben de sources ooit wel gebruikt ja, maar met 'fork van originele firmware' moet je niet verder denken dan kernel en drivers.

Userspace apps (busybox etc) wordt gewoon van de source gebouwed. 0.0 redenen om de versie van linksys te gebruiken. Eigenlijk het enige wat je nodig hebt van linksys (initieel anyway) was support voor de gebruikte hardware (lees kernel patches voor de SoC) en vaak een binary blob voor de wifi. Al is dit laatste al heeeel lang niet meer van toepassing.
DD-WRT development staat een beetje op een laag pitje helaas.
en wie geeft mij de garantie dat die wel dicht is dan?
Want die heeft geen bugs?
DD-WRT wordt wel door meer routers gebruikt dan enkel op de WRT54GL, de kans dat een bug opvalt is dus veel groter.
Hetgeen ze tonen is wel op het interne netwerk. Belangrijker is om te weten of het extern ook zo is.
Ja, dat was ook mijn eerste indruk. De onderliggende netwerkcode maakt uit zichzelf geen verschil tussen WAN en LAN, maar Linksys/Cisco zet default wel extra beveiligingsmaatregelingen op de WAN poort.

Dus ik zou inderdaad bevestigd willen hebben dat deze exploit poort onafhankelijk is. Wat meer info is zowieso wel handig, maar dan is het wel fijn dat er ook een patch of workaround is. (En dan niet "gebruik deze router niet")
Ik zag hetzelfde en vroeg me meteen ook af... dus alleen bekabeld en niet via wifi? Naja... bijna alles is te doorbreken als je fysiek toegang hebt...
Je haalt WAN en WLAN door elkaar; LAN kan net zo goed WiFi zijn,
Wat ik bedoelde te zeggen is... veel mensen denken dat het lek in het draadloze gedeelte zit...

de IP adressen die je ziet zijn 'local' geen echte public IP adressen... nu is het vaak dat routers (niet alleen cisco/linksys) vreemd reageren qua NAT als je 2x netwerk ip mask zelfde neemt...

Kun je dus wel toegang krijgen via de kabel maar niet via wifi...
Al die beveiligingslekken ook overal. Om niet goed van te worden, maar nu is het belangrijkste dat het lek 'geheim' blijft en zo snel mogelijk weg wordt gepatcht. Het probleem is vaak alleen dat het moeilijk is voor dit soort bedrijven om al hun klanten in te lichten over het probleem. Communicatie hierover moet dus eigenlijk misschien in de toekomst worden verbeterd (misschien via een automatisch bericht via de betreffende router).

Dat ze het lek hebben gevonden is één ding, maar ik zou als klant wel altijd graag willen weten wat bijvoorbeeld erop kan wijzen dat iemand gebruik maakt van dit lek. Beter nog een manier om het lek zelf (tijdig) te kunnen dichten.

[Reactie gewijzigd door RoofTurkey op 15 januari 2013 15:15]

Daar ben ik inderdaad ook een voorstander van, mensen berichten om hun firmware te updaten. Eigenlijk zouden ze dit standaard moeten mededelen zodat iedereen altijd op de hoogte is. Misschien is het zelfs een beter idee om dit automatisch te laten doen, met behoud van instellingen natuurlijk en natuurlijk een off functie voor de tweakers onder ons.
Hoe wil je dat doen bij een router waar normaal gesproken niemand ooit meer op inlogt?
met terugwerkende kracht zal techniek niet zo snel aan lenen :)..

Maar nieuwe routers zou je dat bv wel kunnen doen :) Ik dacht alleen dat cisco zo'n concept al heeft bedacht in de nieuwe lijn routeren?? Echter stuite dat op behoorlijk wat ophef!!
Sitecom (jaja, ik weet het, niet bij iedereen even populair) biedt deze mogelijkheid al enige tijd in hun routers. Tenminste, mijn WLR-6000 gaf dit zelf aan in de browser, gewoon tijdens het surfen, kwam er een balkje bovenin beeld met de melding dat er een nieuwe update voor de router was. Daarnaast biedt het merk ook nog wat extra functionaliteit qua beveiliging via hun Cloud Security optie, maar die is helaas (wel begrijpelijk) niet onbeperkt gratis.
De nieuwere Linksys routers hebben ook de mogelijkheid voor automatische updates, kun je zelf bepalen..
zo snel mogelijk weg wordt gepatcht.
ding heeft geen auto-update functie, veel succes gewenst aan al de digibeten die je kent, die zelfs niet weten wat een router, exploit of patch is :P
Hoe vaak upgrade je nu de firmware van je modem?
Upgrade van je Firmare doe je inderdaad niet zo vaak. Maar zoals hier boven al is aangegeven is het dan juist handig om dit automatisch te doen.
automatisch brikken? nee dank je.

Ook firmware updates gaan wel eens fout namelijk. die hengel ik toch liever eerst binnen, doe dan een check met een sha256 hash, en als dat goed is, kan ik de firmware via een fysieke, stabiele, gigabit ethernet connectie op de router plempen.

Maar toegegeven, ik ben zo'n nerd die eens per week checked of er firmware updates zijn :)
Wel link als je net op dat moment de stekker eruit trekt.
Automatisch? Liever niet; dan zit je opeens met een time-out als het misgaat. Heb je het zelfde gedoe als bijvoorbeeld een virusscanner automatisch update en dan bepaalde systeembestanden als kwaadaardig ziet. Dat is ook al meerdere keren voorgekomen.

Frappant dat het artikel melding maakt dat door de leeftijd veel van de routers uit de roulatie zijn. Dit model is nog geruime tijd verkocht (het is onder meer een populair model hier onder de tweakers). Zie prijsgrafiek maar eens: pricewatch: Linksys WRT54GL

Vooral in 2009 kende hij een hoogtepunt. Er zijn dan ook heel wat revisies er van geweest. Zelfs op het moment is hij nog vrij verkrijgbaar bij veel winkels; veel winkels hebben hem zelfs op voorraad.

Ondergetekende heeft er zelf ook één en ik zie zo snel geen noodzaak om hem te vervangen.
en dat is precies het probleem wat hierboven ook aangegeven wordt. Liever een auto update met mogelijkheid om instellingen te behouden. Wil je dit niet omdat je dit zelf kan regelen en het ook doet, dan zet je de optie uit (opt-out systeem).

Edit:
zie dat jullie tegelijk postte.

[Reactie gewijzigd door Wallioo op 15 januari 2013 15:35]

Als dit alleen een lokale exploit is, is die al een stuk minder 'erg'. Het is nog steeds niet wenselijk, maar opzich laat je alleen mensen op je netwerk toe die je vertrouwd, dus ga ervan uit dat die de boel niet gaan lopen hacken.

Over upgraden van je firmware, mijn router meldt het netjes als ik erop inlog. Alleen tja dan moet je wel inloggen en ook nog op ja drukken. Zelfde van maken als met windows, gewoon automatisch elke dinsdag om 3u en dan gelijk rebooten (nee laten we dat maar niet doen).
Tegenwoordig zie je dat steeds meer inderdaad, maar bij de oude WRT54's met stock firmware (zoals 80% van de niet-tweakers ze zullen gebruiken) moet je toch echt zelf op zoek naar firmware-updates. Daar komt nog bij dat de gemiddelde niet-tweaker ook nooit op zijn router inlogt zoang hij gewoon verbinding heeft. Twee redenen waardoor het helaas zo goed als onmogelijk is om patches grootschalig uit te rollen op ditsoort netwerkapparatuur.
Of je zet er gewoon Tomato op :)
Werkt geweldig.

En inderdaad laat eerst maar eens zien vanaf het wan want dit filmpje was op een intern netwerk.
Die routers uit 2005 zijn nog volop in gebruik hoor. Zolang die aan de eisen van de gebruiker voldoet zal die niet vervangen worden.
Deze router is een begrip en heeft de hele custom firmware trend gestart voor internetrouters.
Ik heb nog een originele wrt54G liggen.
Eentje van de tijd dat ze standaard nog op linux draaiden, en er dus nog geen L achter de naam stond om dat aan te stippen.
Ik veronderstel dat het probleem zich daar ook voor stelt, en niet alleen de 'nieuwere' versies?
yep, zijn exact de zelfde routers. Toen Linksys switchte naar een closed firmware brachten ze het oude model (WRT54G v4) onder de "L" (van Linux) uit.

De nieuwste stable build van DDWRT voor de WRT54 stamt trouwens uit 2008 en de recommended beta uit 2009. Dus de Apache etc. die daar in zitten hebben ook bekende lekken.
DD-WRT gebruikt geen Apache, maar milli_httpd. Volgens mij zijn er voor DD-WRT ook al tijden geen exploits meer uitgekomen.
Handig die vraag en aanbod advertenties rechts er naast.....

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013