Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 21, views: 18.045 •
Submitter: The-Priest-NL

Door een aantal kwetsbaarheden in de AiCloud-software, die te gebruiken is met diverse routers van Asus, kunnen hackers toegang krijgen tot gedeelde mappen en usb-apparatuur. Asus heeft nog geen firmware-updates uitgebracht om de problemen te verhelpen.

De beveiligingsproblemen zouden aanwezig zijn in de routermodellen RT-AC66R, RT-AC66U, RT-N66R, RT-N66U, RT-AC56U, RT-N56R, RT-N56U, RT-N14U, RT-N16 en RT-N16R. Op de routers zouden adminwachtwoorden in plain text zijn opgeslagen, terwijl via lekken in de gebruikte AiCloud-software, die toegang op afstand tot bestanden op het thuisnetwerk mogelijk maakt, netwerkmappen benaderd kunnen worden. Ook opslagmedia die op de usb-poort van de routers is aangesloten zouden bij een ingeschakelde AiCloud-service zijn te benaderen, terwijl een hacker via een ssh-verbinding ongemerkt code kan laten draaien. Verder kan het netwerkverkeer gemonitord worden.

Volgens beveiligingsonderzoeker Kyle Lovett is Asus al sinds juni op de hoogte gebracht van de problemen maar het bedrijf heeft nog geen firmwarepatches aangekondigd. Ook blijft de AiCloud beschikbaar en waarschuwt Asus zijn klanten niet voor de lekken in de firmware, zo stelt Lovett. De beveiligingsonderzoeker zegt daarom de beveiligingslekken te hebben gepubliceerd. Asus heeft nog niet publiekelijk gereageerd op de publicatie van Lovett op de BugTraq-mailinglist.

Om mogelijke aanvallen op de tien kwetsbare routermodellen te voorkomen, wordt door Lovette onder andere aangeraden om AiCloud en upnp te deactiveren. Ook alle toegangsopties om de Asus-routers op afstand te beheren dienen uitgeschakeld te worden, terwijl het in afwachting van een patch verstandig is om wachtwoorden voor zowel de admin-interface als AiCloud te wijzigen.

Update 19:30: Asus heeft voor een aantal routermodellen inmiddels nieuwe firmware uitgebracht die de genoemde bugs zou verhelpen.

Asus RT-N66U

Reacties (21)

En deze firmware dan?

ASUS RT-AC66U Firmware version 3.0.0.4.372 (update is ook voor de andere routers in dit newsitem)
Fixed:
1. Fixed AiCloud vulnerability related bugs.
2. Underline "_" can now be acceptable in device name and computer name.
3. Hide Broadcast option in PPTP VPN server when it is disabled.
4. Fixed multicast IPTV related issues in PPPoE/PPTP/L2TP connection.
5 .Fixed parental control offset issue in IE.
6. Fixed 3G dongle related issue.
7. Hide ASUS DDNS description when selecting 3rd party service.
8. Fixed script error 'invalid argument on IE'
9. Fixed smart sync JS error
10. Fixed JST time zone issue.

Voor de mensen die de firmware van Merlin draaien en denken: "Versie 3.0.0.4_372 van Merlin is de laatste build, en draagt hetzelfde versienummer als de officiŰle firmware van Asus, DUS zal het wel zijn opgelost met AiCloud bugs..." dit is niet het geval! Schakel hiervoor AiCloud uit mocht je denken dat je gevaar loopt, of update naar de reguliere Asus firmware.

[Reactie gewijzigd door Bathing Aap op 16 juli 2013 19:32]

Ik wilde het net posten, je was me voor :) Ter info, deze firmware is nu 4-5 dagen oud, dus dit nieuwsbericht slaat een beetje de plank mis.

[Reactie gewijzigd door redah op 16 juli 2013 19:23]

De plank mis slaan?
Nu weten gebruikers tenminste dat ze als de sodemieter moeten updaten!
Dat Asus hier zelf geen perspericht over uit doet is natuurlijk wel vreemd.
En de klanten een maand lang niet informeren, de onderzoeker niet serieus nemen, zaken die niet echt geweldig zijn.
Dat ze moeten updaten is iets heel anders dan hoe het bericht nu verwoord is: Er staat nu dat ASUS niks laat weten en niks doet. Terwijl als Tweakers even gegoogeled had ze hadden kunnen zien dat er wel degelijk nieuwe firmware is.

Maar met die 'onderzoeker' ben ik ook niet tevreden: Hij heeft 2 dagen geleden zijn nieuws bekend gemaakt, terwijl 5 dagen geleden die nieuwe firmware er al was. Testversies waren er zelfs al (veel) eerder (zie de Smallnetbuilder forums). Maar ook als we zijn tekst erbij pakken:
I have only heard back from ASUS a twice on the issue, and I understand they are working on a fix. However, no serious attempt to our knowledge has been made to warn their customers in the meantime, even after multiple requests from
several different security professionals.
blijkt dus dat hij wel reactie van ASUS heeft gehad, met de melding dat ze aan een fix aan het werken zijn. Dus dat Tweakers er van maakt dat ASUS niks doet en staat te kijken... Dan slaan ze toch echt de plank mis.

Let wel: Ik ben het ermee eens dat mensen als de sodemieter moeten updaten, maar de berichtgeving van zowel die onderzoeker als Tweakers is gewoon onjuist.
Moeten zulke firmware systemen (in principe elke systemen waar veiligheidsrisico's kunnen bestaan) niet eens by design automatisch gaan updaten, zonder dat een eindgebruiker hier iets voor hoeft te doen? Er moet dan natuurlijk een uitstekende rollback functie gemaakt worden als het mis loopt, wat voor truc dan ook, als het maar automatisch verloopt.

[Reactie gewijzigd door Bathing Aap op 16 juli 2013 20:47]

Dat heeft cisco/Linksys geprobeerd en die zijn keihard afgefakkeld daarvoor.
Moeten routers niet eens gewoon router zijn ipv vol zitten met software die eerder afdoen aan security dan er aan toevoegen ?
Vind je? Het is nu vakantie tijd, ik zit niet elke dag achter mijn pc. Deze info komt nu pas bij mij binnen. (sinds 3 weken een ASUS RT-AC66U) Omdat de firmware niet automatisch update, is het toch handig dat dit soort nieuwsberichten de wereld in komen.

Daarnaast om nu gelijk te upgraden, je weet wat met de vorige firmware is gebeurd. Die is door Asus snel in beta stand gezet, er waren nog wat problemen mee.

Edit: Als ik automatisch de router naar een nieuwe firmware laat zoeken krijg ik de melding dat de gebruikte versie de laatste is: (ik gebruik versie 3.0.0.4.266)

The router's current firmware is the latest version.

[Reactie gewijzigd door TFZ61 op 17 juli 2013 12:23]

Gezien men maar liefst zes weken de tijd heeft genomen om kritieke firmware bugs op te lossen en ook in afwachting van de oplossing klanten niet ge´nformeerd heeft zou ik denken dat je geen router van Asus wil hebben als vervanging voor je Fritzbox.
Op 1-3 ook naar hen iets gelijkaardig gestuurd. Het ging dan over 2 step verification, maar had ook mooi uitgelegd dat het huidige system helemaal niet voldeed.

Nooit meer iets van gehoord nadien.

[Reactie gewijzigd door Luke-san op 16 juli 2013 19:26]

Toevallig vandaag de rt-ac66u ge´nstalleerd en gelijk deze firmware erop gezet :)
Ben opeens heel blij dat die functie sinds dag 1 uit staat bij mij :)
Een alternatieve firmware helpt ook: http://dd-wrt.com

En dan heb je meteen meer functies.
DD Wrt is trager op deze routers dan kun je beter asuswrt merlin draaien.
Ik gebruik al sinds ik deze router heb, Merlins versie.
De aanpassingen van Merlin zijn ook steeds grotendeels door Asus weer in hun builds opgenomen.

Je vind Merlin builds hier.
Zijn website is hier.

Edit: dit lek was alleen aanwezig als je aiCloud ingeschakeld hebt.
Indien je dit niet gebruikt (staat default uit) dan is het lek niet te gebruiken.

[Reactie gewijzigd door Rinaldootje op 16 juli 2013 21:39]

De Merlin firmware ziet er goed uit.
Kan ik de Merlin firmware uitproberen en terug naar de Asus firmware gaan als ik dat wil?
Ja, je kunt altijd terug. Dat is totaal geen probleem.
Mooi, bedankt.
Bij mijn vorige router (TP-Link) die ik van dd-wrt firmware heb voorzien kon ik niet meer terug naar de originele firmware, dat vond ik toch wel een gemis.
Ik heb nu de ASUS RT-AC66U als vervanger van een Cisco. Mijn WIFI-verbinding viel steeds even weg en ik dacht dat het aan de Cisco lag. Met de Asus deed de wifi het een tijdje goed, maar nu ook bij de Asus het geval. Zou de nieuwe firmware dit op kunnen lossen? (kleine kans). Ik heb inmiddels de nieuwe firmware geprobeerd te downloaden naar de router, maar via de automatische functie zegt hij dat ik de laatste firmware al heb (.270) en via "Bestand kiezen" in het updatevenster het gedownloade file (zowel de .zip versie als de .rar versie) zegt de router dat de update mislukt.

Heeft iemand dezelfde problemen? En eventueel opgelost?

Op dit item kan niet meer gereageerd worden.



Populair: Apple iPhone 6 iPhone Apple Watch Apple iPhone 6 Plus Smartphones Microsoft Games Apple Activision Smartwatches

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013