Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 79, views: 36.638 •

Miljoenen Linksys-routers zijn op afstand te hacken, claimt een beveiligingsbedrijf. Cisco zegt dat het beveiligingsprobleem al is gepatcht, maar volgens de ontdekkers van het lek staat het nog altijd open. Waar het probleem precies zit, is nog niet duidelijk.

Beveiligingsbedrijf DefenseCode stelt Cisco maanden geleden op de hoogte hebben gebracht van een beveiligingsprobleem in de Linksys WRT54GL-router. Cisco reageerde met de mededeling dat het lek in de laatste firmware-versie was opgelost, maar volgens DefenseCode is niets minder waar: in de nieuwste firmware-update zou het beveiligingsprobleem nog steeds aanwezig zijn.

DefenseCode wil nog niet kwijt waar het lek precies zit; meer details volgen over twee weken. Wel is duidelijk dat het om een beveiligingsprobleem gaat dat het aanvallers mogelijk maakt om van buiten af root-rechten te verkrijgen, en dat het lek op afstand te misbruiken is. Dat maakt het onder meer mogelijk om gebruikers af te luisteren.

Wat het probleem nog ernstiger maakt, is dat de betreffende router waarschijnlijk zeer wijdverspreid is: de router is vaak verkocht. Daarbij moet worden aangetekend dat het om een router uit 2005 gaat en veel verkochte exemplaren dus niet meer in gebruik zullen zijn. Cisco zegt tegenover The Register dat het bedrijf over de kwestie geen nieuwe mededelingen kan doen.

Reacties (79)

Nog een rede om er dd-wrt op te zetten.
0.01% ja, de rest van de mensen haalt hem uit de doos, stekker erin, en gaan, net zo lang totdat hij stuk is. (Dus er zullen er nog steeds een hoop in gebruik zijn)
Beetje kort door de bocht, nietwaar? Er is nogal een verschil tussen een wachtwoord aanpassen en de complete firmware veranderen. Ook ik draai geen alternatieve firmware op mijn 54GL, maar heb wel sterke wachtwoorden die ik regelmatig verander.

..Dit bericht zet me natuurlijk wel aan het denken.
" Een gewone thuisgebruiker zonder verstand van beveiliging heeft over het algemeen weinig interessant internetverkeer voor een internetcrimineel."

Dus mensen zonder verstand van beveiliging doen niet mee aan telebankieren en teleshoppen denk je?
We mogen toch hopen dat dit soort verkeer versleuteld over het net gaat, anders hebben we een veel groter probleem. Ik dacht eerder aan gevoelige emails die (in plain text) intern heen en weer gaan.

[Reactie gewijzigd door StevenLiekens op 15 januari 2013 21:48]

Probleem is dus dat als je router "geroot" is, iemand waarschijnlijk dns redirect naar een niet-zo-vriendelijke dns en/of iets als sslstrip installeert...
En jij denkt dat een Router geen interssante node in een botnet is?

Routers draaien bijna altijd op een Linux kernel legaal of illegaal. Deze apparaten zijn 24/7 aan en verbonden met het internet en hebben een draadloze verbinding waatmee de buren ook weer te hacken zijn.

Ik zou me als botnet operator niet echt meer richten op desktops. Dit soort apparaten zijn veel interssanter.

En wat val er te halen bij een 'eenvoudige' thuis gebruiker?
- Credicard gegevens
- Bankgevens
- Persoonlijke informatie
- Toegans to berdrijfsnetwerken via thuiswerk toegang
- etc.

Duizend euro stelen van duizend mensen is alweer een miljoen.

Ik zou er niet al te licht over denkten
Ik bedoelde juist dat de linux kernel op hardware vaak 'illegaal' door de fabrikant wordt gebruikt.

Dit omdat hij/zij zich niet aan de GPL houdt. Zij gebruiken de kernel en doen vaak ook aanpassingen en vertellen de koper daar helemaal niets over.

Heel veel android tablets/telefoons vallen gebruiken de kernel illegaal. MediaTek is denk ik de beruchtse "GPL violator" die zijn producten actief buiten azië verkoopt aan grote Andriod hardware fabrikanten.

Ik bedoelde niets te zeggen over de legaliteit van het gebruik custom firmwares.
Of Tomato :) Die is erg simpel qua interface en erg snel en stabiel.
en verbruikt minder cpu/resources dan dd-wrt, waardoor ik in ieder geval een hogere internet snelheid aan kon. Toen was 80mbit voor die router op dd-wrt niet te doen, maar tomato had geen problemen.
Ik heb pas mijn Tomato firmware vervangen door DD-WRT.
Tomato heeft geen WPA2 in de Client-Bridge mode.

Ook mijn WAP54G met Linksys firmware heb ik vervangen door DD-WRT, want die Linksys had ook al geen WPA2.

[Reactie gewijzigd door Largy op 15 januari 2013 16:46]

Wie zegt dat het probleem niet in DD-WRT zit? Is toch een fork van de originele firmware?
Nee hoor. Ze hebben de sources ooit wel gebruikt ja, maar met 'fork van originele firmware' moet je niet verder denken dan kernel en drivers.

Userspace apps (busybox etc) wordt gewoon van de source gebouwed. 0.0 redenen om de versie van linksys te gebruiken. Eigenlijk het enige wat je nodig hebt van linksys (initieel anyway) was support voor de gebruikte hardware (lees kernel patches voor de SoC) en vaak een binary blob voor de wifi. Al is dit laatste al heeeel lang niet meer van toepassing.
DD-WRT development staat een beetje op een laag pitje helaas.
en wie geeft mij de garantie dat die wel dicht is dan?
Hetgeen ze tonen is wel op het interne netwerk. Belangrijker is om te weten of het extern ook zo is.
Ja, dat was ook mijn eerste indruk. De onderliggende netwerkcode maakt uit zichzelf geen verschil tussen WAN en LAN, maar Linksys/Cisco zet default wel extra beveiligingsmaatregelingen op de WAN poort.

Dus ik zou inderdaad bevestigd willen hebben dat deze exploit poort onafhankelijk is. Wat meer info is zowieso wel handig, maar dan is het wel fijn dat er ook een patch of workaround is. (En dan niet "gebruik deze router niet")
Ik zag hetzelfde en vroeg me meteen ook af... dus alleen bekabeld en niet via wifi? Naja... bijna alles is te doorbreken als je fysiek toegang hebt...
Je haalt WAN en WLAN door elkaar; LAN kan net zo goed WiFi zijn,
Al die beveiligingslekken ook overal. Om niet goed van te worden, maar nu is het belangrijkste dat het lek 'geheim' blijft en zo snel mogelijk weg wordt gepatcht. Het probleem is vaak alleen dat het moeilijk is voor dit soort bedrijven om al hun klanten in te lichten over het probleem. Communicatie hierover moet dus eigenlijk misschien in de toekomst worden verbeterd (misschien via een automatisch bericht via de betreffende router).

Dat ze het lek hebben gevonden is één ding, maar ik zou als klant wel altijd graag willen weten wat bijvoorbeeld erop kan wijzen dat iemand gebruik maakt van dit lek. Beter nog een manier om het lek zelf (tijdig) te kunnen dichten.

[Reactie gewijzigd door RoofTurkey op 15 januari 2013 15:15]

Daar ben ik inderdaad ook een voorstander van, mensen berichten om hun firmware te updaten. Eigenlijk zouden ze dit standaard moeten mededelen zodat iedereen altijd op de hoogte is. Misschien is het zelfs een beter idee om dit automatisch te laten doen, met behoud van instellingen natuurlijk en natuurlijk een off functie voor de tweakers onder ons.
Hoe wil je dat doen bij een router waar normaal gesproken niemand ooit meer op inlogt?
Sitecom (jaja, ik weet het, niet bij iedereen even populair) biedt deze mogelijkheid al enige tijd in hun routers. Tenminste, mijn WLR-6000 gaf dit zelf aan in de browser, gewoon tijdens het surfen, kwam er een balkje bovenin beeld met de melding dat er een nieuwe update voor de router was. Daarnaast biedt het merk ook nog wat extra functionaliteit qua beveiliging via hun Cloud Security optie, maar die is helaas (wel begrijpelijk) niet onbeperkt gratis.
De nieuwere Linksys routers hebben ook de mogelijkheid voor automatische updates, kun je zelf bepalen..
zo snel mogelijk weg wordt gepatcht.
ding heeft geen auto-update functie, veel succes gewenst aan al de digibeten die je kent, die zelfs niet weten wat een router, exploit of patch is :P
Hoe vaak upgrade je nu de firmware van je modem?
Upgrade van je Firmare doe je inderdaad niet zo vaak. Maar zoals hier boven al is aangegeven is het dan juist handig om dit automatisch te doen.
automatisch brikken? nee dank je.

Ook firmware updates gaan wel eens fout namelijk. die hengel ik toch liever eerst binnen, doe dan een check met een sha256 hash, en als dat goed is, kan ik de firmware via een fysieke, stabiele, gigabit ethernet connectie op de router plempen.

Maar toegegeven, ik ben zo'n nerd die eens per week checked of er firmware updates zijn :)
Wel link als je net op dat moment de stekker eruit trekt.
Automatisch? Liever niet; dan zit je opeens met een time-out als het misgaat. Heb je het zelfde gedoe als bijvoorbeeld een virusscanner automatisch update en dan bepaalde systeembestanden als kwaadaardig ziet. Dat is ook al meerdere keren voorgekomen.

Frappant dat het artikel melding maakt dat door de leeftijd veel van de routers uit de roulatie zijn. Dit model is nog geruime tijd verkocht (het is onder meer een populair model hier onder de tweakers). Zie prijsgrafiek maar eens: pricewatch: Linksys WRT54GL

Vooral in 2009 kende hij een hoogtepunt. Er zijn dan ook heel wat revisies er van geweest. Zelfs op het moment is hij nog vrij verkrijgbaar bij veel winkels; veel winkels hebben hem zelfs op voorraad.

Ondergetekende heeft er zelf ook één en ik zie zo snel geen noodzaak om hem te vervangen.
en dat is precies het probleem wat hierboven ook aangegeven wordt. Liever een auto update met mogelijkheid om instellingen te behouden. Wil je dit niet omdat je dit zelf kan regelen en het ook doet, dan zet je de optie uit (opt-out systeem).

Edit:
zie dat jullie tegelijk postte.

[Reactie gewijzigd door Wallioo op 15 januari 2013 15:35]

Als dit alleen een lokale exploit is, is die al een stuk minder 'erg'. Het is nog steeds niet wenselijk, maar opzich laat je alleen mensen op je netwerk toe die je vertrouwd, dus ga ervan uit dat die de boel niet gaan lopen hacken.

Over upgraden van je firmware, mijn router meldt het netjes als ik erop inlog. Alleen tja dan moet je wel inloggen en ook nog op ja drukken. Zelfde van maken als met windows, gewoon automatisch elke dinsdag om 3u en dan gelijk rebooten (nee laten we dat maar niet doen).
Tegenwoordig zie je dat steeds meer inderdaad, maar bij de oude WRT54's met stock firmware (zoals 80% van de niet-tweakers ze zullen gebruiken) moet je toch echt zelf op zoek naar firmware-updates. Daar komt nog bij dat de gemiddelde niet-tweaker ook nooit op zijn router inlogt zoang hij gewoon verbinding heeft. Twee redenen waardoor het helaas zo goed als onmogelijk is om patches grootschalig uit te rollen op ditsoort netwerkapparatuur.
Die routers uit 2005 zijn nog volop in gebruik hoor. Zolang die aan de eisen van de gebruiker voldoet zal die niet vervangen worden.
Deze router is een begrip en heeft de hele custom firmware trend gestart voor internetrouters.
Ik heb nog een originele wrt54G liggen.
Eentje van de tijd dat ze standaard nog op linux draaiden, en er dus nog geen L achter de naam stond om dat aan te stippen.
Ik veronderstel dat het probleem zich daar ook voor stelt, en niet alleen de 'nieuwere' versies?
yep, zijn exact de zelfde routers. Toen Linksys switchte naar een closed firmware brachten ze het oude model (WRT54G v4) onder de "L" (van Linux) uit.

De nieuwste stable build van DDWRT voor de WRT54 stamt trouwens uit 2008 en de recommended beta uit 2009. Dus de Apache etc. die daar in zitten hebben ook bekende lekken.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBDesktops

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013