Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 123 reacties

Naar schatting meer dan 12 miljoen routers van onder andere D-Link, Huawei, TP-Link, ZTE en Zyxel zijn aan te vallen door in een http-pakketje een aangepast cookiebestand te sturen. De aanvalsmethode kan een hacker volledige toegang geven tot de admin-interface.

De bug, die Misfortune Cookie is genoemd, is ontdekt door onderzoekers van Check Point Software. De weeffout is te vinden in RomPager, een embedded webserver die in miljoenen routers en gateways is te vinden. Door een aangepast cookie in een http-pakketje naar een kwetsbaar apparaat te sturen, ontstaat een geheugenfout. Hierdoor worden admin-rechten gegeven aan elke sessie, waardoor een aanvaller een router of gateway eenvoudig kan herconfigureren.

Check Point noemt Misfortune Cookie een ernstige kwetsbaarheid, mede door de eenvoud van de aanval en omdat er naar schatting zeker 12 miljoen apparaten kwetsbaar zijn door de bug in RomPager. Alleen via een firmware-update van de fabrikant kunnen apparaten worden bijgewerkt. In bepaalde gevallen kan een internetprovider of fabrikant deze procedure op afstand starten, maar er zijn ook situaties dat een gebruiker handmatig een update door het flashen van de firmware moet uitvoeren.

Tot nu toe heeft Check Point door middel van een scan op diverse poorten kwetsbare netwerkapparatuur van onder andere D-Link, Huawei, TP-Link, ZTE en Zyxel aangetroffen in meer dan 200 verschillende producttypen. De modelnummers zijn in een pdf-document te vinden.

Moderatie-faq Wijzig weergave

Reacties (123)

Misschien belangrijk om op te merken is dat je router hierdoor alleen aangevallen kan worden door gebruikers van apparaten die ermee verbonden zijn (dus niet iedereen op internet, alleen mensen in je LAN).
CSRF?

Hier is trouwens een pdf'je met meer informatie dan alleen het pdf'je met modennummers:
http://mis.fortunecook.ie...protection-whitepaper.pdf
Het blijkt dat het gaat om een bug in de embedded RomPage webserver van Allegrosoft die al in 2005 (!!!) gefixt werd. Maar omdat routerchipfabrikanten met hun firmware en software development kits nogal achter kunnen lopen (en daarbij de routerfabrikanten zelf nog verder achter kunnen lopen) kan het probleem nog bij recente modellen voorkomen.

Het lijkt me duidelijk dat de problemen geconcentreerd zijn bij routers met bepaalde chipsets van een of meerdere chip-fabrikanten die hun firmware niet goed bijwerkt hebben, in combinatie met laksheid van de routerfabrikant. Chipfabrikanten op deze markt zijn onder andere Broadcom en Ralink (nu MediaTek).
"in combinatie met laksheid van de routerfabrikant."
Die laksheid kan alleen door overheden worden aangepakt. Aangezien overheden er belang bij hebben dat alles hackable is, zullen zij dat niet aanpakken.
Ik denk niet dat je eigen browser spontaan speciaal aangepaste cookies gaat verzenden.
Uiteraard niet. Maar je kan een pagina maken die dat doet, en als dan een bezoeker van die pagina dan 1 van deze router modellen gebruikt kunnen DNS instellingen worden aangepast.
Of dan vervolgens een automatisch script laten draaien:

1. ff met java local IP mee pakken + gw
2. cookie script draaien -> naar Router
3. script openWebAdmin(localip);
4. http call naar je webserver om het ip te krijgen.
5. jij logt in op die router. (evt. vpn op zetten voor jezelf)
6. je bent op het netwerk LAN.

En dan kun je nog veel meer doen.
Dus opzich nog wel gevaarlijk ook al ben je niet direct met LAN verbonden.
Je bent me voor, ik dacht dat inderdaad ook al. Miljoenen apparaten makkelijk te kraken, dat is niet niks. En als de router is gekraakt is het meestal ook niet moeilijk om dan een stukje malware naar de rest van de gebruikers te verzenden. Hier gaat veel misbruik van gemaakt worden. Ik ben blij dat mijn router het superveilige besturingssysteem OpenBSD draait. Superhandig, lekker de boel beheren via SSH.
Maar je kan een pagina maken die dat doet, en als dan een bezoeker van die pagina dan 1 van deze router modellen gebruikt kunnen DNS instellingen worden aangepast.

Enkel indien je browser daar niet tegen beveiligd is. Wellicht dat Firefox/Chrome dit toelaten, maar bijvoorbeeld enhanced protected mode van IE zal zo'n request blokkeren.
Misschien belangrijk om op te merken is dat je router hierdoor alleen aangevallen kan worden door gebruikers van apparaten die ermee verbonden zijn (dus niet iedereen op internet, alleen mensen in je LAN).
Niet waar dus. Als ik de bron lees:
Can’t you just use the vulnerability to patch it everywhere?

While theoretically that might be possible, performing such pervasive action on devices that are not in your possession would constitute a criminal charge in many countries, regardless of the well intention of the originator.
Iedereen kan dus toegang krijgen tot je router.
Iedereen kan dus toegang krijgen tot je router.

Wat je citeert stelt helemaal niet dat 'iedereen' dat wel kan. Het beantwoord enkel de domme vraag of men de kwetsbare apparaten (!) niet 'gewoon' kan patchen via het eigen lek.

De vraag is dus wat kwetsbaar is. Logica stelt dat een apparaat dat niet luistert op een bepaalde interface kan ook niet gehached worden via die interface. Packets worden immers gewoon gedelete op een netwerklaag ver onder (of boven afhankelijk van je favoriete netwerkmodel) HTTP.

De vraag is dus welke netwerk-apparatuur standaard (of na user opt-in) luistert op het internet. Routers/modems van providers wellicht wel. Thuis-gebruik routers (bedoeld voor achter de modem) doorgaans niet.

EDIT: verduidelijking

[Reactie gewijzigd door Armin op 19 december 2014 01:08]

Waar haal je deze kennis vandaan?

Ik lees er uit dat het er over gaat dat als je router onder de kwetsbare modellen valt en op afstand benaderbaar is, ook andere verbonden apparaten kwetsbaar kunnen zijn:

If your gateway device is vulnerable, then any device connected to it - including computers, phones, tablets, printers, security cameras, refrigerators, toasters or any other networked device in your home or office network - may have increased risk of compromise.
Als je op de link in het artikel klikt en dan de paragraaf met de titel "How does it affect me?" leest, daar staat het.
Nee dat staat er NIET!

Er staat:
If your gateway device is vulnerable, then any device connected to your network - including computers, phones, tablets, printers, security cameras, refrigerators, toasters or any other networked device in your home or office network - may have increased risk of compromise. An attacker exploiting the Misfortune Cookie vulnerability can easily monitor your Internet connection, steal your credentials and personal or business data, attempt to infect your machines with malware, and over-crisp your toast.
Als jouw router kwetsbaar is voor de misfortune cookie dan heeft elk apparaat dat in jouw netwerk hangt een verhoogd risico om misbruikt te worden. Een hacker die de misfortune cookie misbruikt kan zonder problemen je internet verbinding monitoren, je inloggegevens, persoonlijke en bedrijfsdata stelen. En je systemen proberen te infecteren met malware and toast laten aanbranden :).

Tevens staat in het artikel dat ze door een uitgebreide poortscan allerlei devices gevonden hebben op internet die kwetsbaar zijn. Het lijkt me dus dat je een deel van de apparaten wel kwetsbaar zijn vanaf internet, als ze data accepteren vanaf internet.

Edit: type foutjes en Aanpassing deel v/d apparaten na opmerking van Armin hieronder

[Reactie gewijzigd door Passkes op 19 december 2014 10:30]

Het lijkt me dus dat je wel kwetsbaar bent vanaf internet.

Je bent kwetsbaar als je apparaat data vanaf het internet accepteert. Je gewone thuis-router doet dat standaard niet. Je modem zoals gelevert door je provider mogelijk wel. Wie weet inderdaad wat die software doet, want daar heb jij geen controle over.

Weer een reden om die gemengde "alles in 1" te weigeren en je eigen router achter de kabel-modem te zetten. Bij de kabel-modem begint het internet, en dus het 'niet vetrouwde' netwerk. Door de ingebouwde router van je provider te gebruiken, ben je in feite het onveilige internet te verlengen tot rechtstreeks aan jouw computer.
Hoe ben jij van plan om een: "aangepast cookie in een http-pakketje naar een kwetsbaar apparaat te sturen". Dit kan alleen als je een remote (bijv. via een vpn) of lokale verbinding (via een lan) hebt met de desbetreffende router.

Je kan dus ook niet zomaar elke willekeurige router gaan hacken met deze methode. Je zult namelijk eerst op een of andere manier verbinding moeten zien te maken. Dat gaat dus alleen als je op een of andere manier via een kabel het netwerk op kan komen, via een kwetsbare machine op het netwerk de router kan bereiken of gewoonweg het wifi wachtwoord weet.

Dit maakt deze hack natuurlijk niet minder gevaarlijk. Je kan imo zonder al te moeilijke handelingen routers op bedrijfsnetwerken, scholen en andere publieke instellingen van andere wachtwoorden voorzien.
Blijkbaar luistert de kwetsbare http parser ook vaak publiek op tcp/7547 voor de CWMP service...
Dit kan prima met een beetje JavaScript op een webpagina. NoScript heeft in ieder geval tegen dit soort zaken bescherming ingebouwd (webpagina's mogen niet vragen om iets naar een beschermd ipadres te sturen), dus ik neem aan dat dit te misbruiken is bij mensen die hier geen beveiliging voor hebben draaien. Zo'n scriptje kan makkelijk in een advertentie gestopt worden en zo zouden criminelen hier op grote schaal misbruik van maken. Zo kunnen ze onder andere de DNS server aan passen, waardoor mensen bij het internet bankieren naar een malafide server gestuurd kunnen worden (gelukkig klopt het ssl certificaat dan niet). Dit is dus echt op grote schaal te misbruiken.
TR-069 wordt toch door ISP gebruikt om de routers te beheren en te updaten?
Het probleem schijnt in de webserver van de device te zitten, RomPager van AllegroSoft en daarmee lijkt mij elke externe webinterface vatbaar van deze devices.

Overigens wil ik graag CVE-2014-9222 en CVE-2014-9223 inzien. Bij de NVD zijn ze nog niet bekent.
Wie zegt dat ik dat van plan ben?
Wie zegt dat ik dat van plan ben?
dat is hypothetisch. hij daagt je uit een oplossing aan te dragen voor het probleem dat je als aanvaller zult tegenkomen, waarbij je de admin interface niet kunt benaderen.

the_stickie hieronder doet dat bijvoorbeeld, die beargumenteerd dat er nog een niet bijzonder zichtbare poort is, die aangevallen kan worden.
Niet altijd:-)

http://www.gnucitizen.org/blog/flash-upnp-attack-faq/

UPnP is quite serious business and hacking it often leads to a catastrophic effect. The following is possible with UPnP:

portforward internal services (ports) to the router external facing side (a.k.a poking holes into your firewall and/or network)
portforward the router web administration interface to the external facing side.
port forwarding to any external server located on the Internet, effectively turning your router into a zombie: the attacker can attack an Internet host via your router, thus hiding their IP address (not all routers are affected by this, but most are)
change the DNS server settings so that next time when the victim visits bank.com, they actually end up on evil.com mascaraed as bank.com
change the DNS server settings so that the next time when the victim updates theirs favorite Firefox extensions, they will end up downloading evil code from evil.com which will root their system.
reset/change the administrative credentials
reset/change the PPP settings
reset/change the IP settings for all interfaces
reset/change the WiFi settings
terminate the connection
etc.
Zelfs via de flash attack methode ben je technisch niet vanaf buitenaf kwetsbaar. Jouw browser download aan aangepaste SWF welke dus LOKAAL op jouw computer wordt gestart en op de achtergrond vanaf jouw computer de gateway (router) benaderd.

Via de flash attach kun je de upnp bug exploiten en op die manier de router manipuleren. Plug & Play hoort gewoon niet thuis op netwerk apparatuur..

Maar los daarvan, hackers maken vaak gebruik van een combinatie van exploits en/of tools. Zo kun je de flash unpnp exploit gebruiken om de admin port naar buiten open te zetten, vervolgens een simpele post (met enkele verzamelde gegevens) request naar een eigen server te doen zodat de hacker een seintje krijgt dat de machine open staat voor de volgende stap. Die volgende stap kan dan zijn om de aangepaste cookie te gebruiken om admin rechten te verkrijgen op de router (mits admin/admin niet werkt) en dan bijvoorbeeld handmatig bepaalde zaken open te zetten. Daarbij kijk je eerst wat de DHCP range van de router is, en daarna kun je via connected devices zien welke apparaten een vast IP hebben. Via portforwarding kun je dan bijvoorbeeld port 22 (ssh) of 3389 (RDP) openzetten en op die manier toegang tot computers en servers te krijgen en op die manier andere malware op de computer te krijgen.

Maar dit is slechts een 'willekeurige' attack. Daarbij heeft de hacker eigenlijk geen target voorkeur. Het maakt niet uit of jouw router open gezet wordt of die van de buurman. Als je fysiek in de buurt van je target kan komen (kantoor/woning) dan zijn er verschillende tools om de WiFi PSK te kraken waardoor je alsnog toegang tot het netwerk kan krijgen en daarna via een upnp, cookie of andere techniek toegang tot de router probeert te krijgen. Vooral particulieren controleren vrijwel nooit de instellingen van hun router zodra deze eenmaal na installatie werkt. Hierdoor kunnen instellingen later gedaan door een hacker zeer lang onopmerkt blijven waarna deze via de tal van forwards continue je netwerk weet te benaderen.

Maar het statement van Huisman blijft overeind. De admin interface is alleen vanaf lokale netwerk benaderbaar. Via tal van exploits kun je daar omheen werken, maar daarbij is het de hacker welke de admin interface extern benaderbaar maakt en niet de fabrikant of de gebruiker zelf..

Maar hoe lang denk je dat het duurt voordat jouw slimme thermostaat of energie meter gekraakt wordt? Feitelijk gezien zijn dat bots welke van een command server instructies krijgen. Normaal ben jij als gebruiker de enige welke die instructies in de queue (de app stuurt de instructies naar de queue, en periodiek kijkt de meter of thermostaat of er nieuwe instructies zijn) kan zetten, maar we weten allemaal ook serieus beveiliging in het algemeen wordt genomen..
Daarom....... UPnP altijd uit zetten. Nog een situatie gehad waar het nodig was om aan te zetten. Zelfs bij Gamen niet.
Hoe zit dat met een geforwarde admin interface? Dan is het toch zeker wel kwetsbaar?
Hoe zit dat met een geforwarde admin interface? Dan is het toch zeker wel kwetsbaar?
Indien je de beheerpagina van je router/modem open zet voor het gehele internet (en ik kan me niet voorstellen waarom iemand in vredesnaam dit zou doen) dan ben je vatbaar. Normaal zal ieder gerespecteerd router merk echter alleen op de LAN interface benaderbaar zijn.

[Reactie gewijzigd door dycell op 19 december 2014 01:03]

"Normaal zal ieder gerespecteerd router merk echter alleen op de LAN interface benaderbaar zijn."
Bijvoorbeeld alle KPN-routers zijn via WAN benaderbaar. Immers, ze krijgen zo nu en dan gedwongen firmware updates.
Inderdaad, alleen lokaal.

En als de eigenaar van de router niet eens de moeite heeft genomen de standaard admin/admin paswoorden te veranderen, is het al helemaal geen extra probleem want dan is de router toch al zo lek als een mandje.

Het verbaast me namelijk hoe vaak dat niet gebeurt. Als ik mensen help met internet problemen is het vrijwel altijd het standaard wachtwoord. Ik heb zelfs routers gezien die geleverd waren door grote providers, en toch met standaard wachtwoorden ingesteld stonden.

[Reactie gewijzigd door GekkePrutser op 18 december 2014 21:31]

bij Ziggo onderanderen is dit nog steeds het geval bij de nieuwe wifi modems,
deze hebben als combinatie ziggo/draadloos.
Je verhaal klopt niet als je uitgaat van de tekst die er staat van how does it affect me.
Daar staat namelijk nergens in de tekst dat je niet kwetsbaar bent van buitenaf.

Vervolgens staat er onderin het artikel dat ze een grote poortscan gedaan hebben, en vervolgens een hele lijst met apparaten hebben gevonden die kwetsbaar zijn voor de misfortune cookie. Het lijkt me dus dat 'alle' apparaten gekoppeld aan het inernet wel degelijk kwetsbaar zijn.

Edit: Zoals Armin hieronder aangeeft, kan ik inderdaad niet aannemen of alle apparaten aan het internet kwetsbaar zijn, echter door de scan gegevens zou ik moeten kunnen aannemen dat een deel van de apparaten wel kwetsbaar zijn.

[Reactie gewijzigd door Passkes op 19 december 2014 10:26]

en vervolgens een hele lijst met apparaten hebben gevonden die kwetsbaar zijn voor de misfortune cookie. Het lijkt me dus dat alle apparaten gekoppeld aan het inernet wel degelijk kwetsbaar zijn.

Ze hebben vanaf het internet gescant en dus zjin de gevonden apparaturu per definitie n kwetsbaar, n verbonden met het internet.

De conclusie dat "alle apparaten" verbonden met het internet kwetsbaar zijn is echter weer een stap verder. Die conclusie kun je niet trekken.

En wie hun whitepaper leest ziet dat het gaat om een heel selecte groep apparatuur, namelijk modems en andere zogenaamde CPE apparatuur van provders. Het gaat om een bug in het specifieke protocol zoals gebruikt om dit soort providers apparatuur (modems etc) te configureren en updaten vanaf het internet. Die staan vaak open richting de provider, en wellicht dan ook internet.

Maar er zijn maatregelen te nemen. Als jouw provider het specifieke mangement verkeer vanaf internet IP blokeert of hun routers wl geupdate had is er niets aan de hand.

Dus het is niet eens zo dat alle apparatuur van de specifieke types zoals in de PDF staan kwetsbaar zijn. Uiteraard mocht jouw modem erbij staan, zou ik even een mailtje sturen naar je provider.
De eerste alinea van de gelinkte pdf spreekt van remote takeover en hun website van wan to lan crossover.
Lijkt me wel dat je een http sessie op de webserver moet hebben om een crafted cookie te sturen, maar die details voor de exploit zijn niet bekend afaik.
edit: aanval is op http parser die meerdere poorten kan luisteren oa en in het bijzonder publiek op tcp/7547 voor cwmp

[Reactie gewijzigd door the_stickie op 18 december 2014 21:09]

Ja maar vergeet niet dat 1 stukje malware op 1 van die computers daar al voldoende voor is. Maar goed het lek is wel iets minder ernstig hierdoor, maar ik denk wel dat er misbruik van gemaakt gaat worden. Wat ben ik blij dat ik een superveilige OpenBSD router heb, waar ik alle controle over heb (hardware: apu1c van PC-Engines) woohoo! :) :p
kpn kan er van buitenaf ook bij toch? welke poort dit is weet ik niet, maar het is een poort die open staat, dus iedereen kan hier in principe bij komen
deze "onthulling" hebben ze al minimaal 2 weken achtergehouden, voor de naam van de vulnerability hebben ze een eigen domain name al 2 weken geleden aangemaakt ....

volgens https://who.is/whois/https://mis.fortunecook.ie

domain: fortunecook.ie
descr: CHECK POINT SOFTWARE TECHNOLOGIES (UK) LTD.
descr: Body Corporate (Ltd,PLC,Company)
descr: Discretionary Name
admin-c: ATY093-IEDR
tech-c: BOL1-IEDR
registration: 05-December-2014
renewal: 05-December-2015
DD-WRT is niet kwetsbaar want dat gebruikt geen RomPager.
Valt OpenWRT hieronder?

edit: Draait op uHTTPd, nee dus. pfew.

[Reactie gewijzigd door Krusher op 18 december 2014 20:49]

Nee, RomPager is proprietary software en wordt derhalve niet gebruikt in OpenWRT.
Lijkt me ook sterk als een dergelijk lek pas nu zou worden opgemerkt bij iets als OpenWRT. Die audits (door de vendor zelf) bij consumenten routers firmware zijn nou niet bepaald de beste ter wereld ;)
Als je echt een superveilige router wilt die je binnen 15 minuutjes kunt opzetten, kies OpenBSD. Zeer veilig en makkelijk te beheren via SSH, tenminste voor de Tweaker haha :p. Installatie + configuratie kan serieus binnen 15 minuten. Mijn advies wat je ermee doet moet je zelf weten :) .
Ik denk dat je wel langer bezig bent om OpenBSD op mijn router te zetten.
Ligt eraan. Op trage hardware kun je de installatie zelf, in 10 minuten doen, tenminste dat is mijn ervaring. Hoezo denk jij dat het langer duurt om dat op jouw router te zetten? Weinig ondersteuning voor jouw hardware? Gewoon een vraag hoor :) .
Weinig ondersteuning is zwak uitgedrukt. Volgens de hardware lijst is er geen ondersteuning voor 32 bits mips. Wat de meeste dedicated consumentenrouters draaien.
En zelfs al zou er wel een 32 bits mips port bestaan, je hoeft alleen de developer fora van OpenWRT maar te lezen om te zien wat een stap je moet maken van ondersteuning van architectuur naar ondersteuning van een specifieke implementatie.,
Of gebruik pfsense. :) nog makkelijker.
Kan ook, maar ik hou meer van maximale beveiliging, er draait nu alleen maar een dhcp-server, SSH-server (alleen lokaal te benaderen) op en de Packet Filter, kortom lekker simpel en superveilig, en makkelijk uit te breiden in de toekomst als dat nodig is. Onderhoud is ook bijna 0. Maar ieder zijn eigen smaak PFsense is ook goed. :)
Zeker waar. Ik gebruik ook OpenBSD, alleen (nog) niet thuis als router :P

pf is echt geweldig, en het is natuurlijk zeer veilig.
Ik draai dd wrt. Vraag me dit inderdaad ook af.
DD WRT is geen probleem.
Dat is dan geen misselijk lek. Jammer dat waarschijnlijk het gros van de getroffen apparaten gen ondersteuning meer hebben of geen update hiervoor zullen krijgen waardoor veel mensen kwetsbaar blijven.

Vind het wel een klein beetje wij van wc eend gevoel hebben. Je kunt namelijk HUN software kopen tegen gerduceerd tarief om het tegen te gaan en hun hardware kent de fout niet......

[Reactie gewijzigd door harley op 18 december 2014 20:41]

iig de modems die je bij je internet krijgt (in NL dan) kan vervangen worden door providers.

overigens vind ik dit lijstje een tikkeltje onoverzichtelijk, ze hadden ze beter kunnen groeperen op merk. Nu staat Huawei, die maar een 5 tal apparaten in die lijst heeft, verdeeld over de pagina.
En degene die een model hebben die wel te updaten valt, lezen dit nieuws niet en/of hebben ook geen flauw benul hoe de router geupdate moet worden :)
Tjah.. als je je router webinterface voor de buitenwereld open zet ben je sowieso slecht bezig.
En hier blijkt (weer) waarom.
Dat is niet waar. In sommige gevallen kan het nodig zijn, en wanneer je een goede firewall / beveiliging heb zou het geen probleem (mogen) zijn.
Helaas is het blijkbaar niet zo simpel. Het maakt gebruik van de web server, die bij veel van deze modellen altijd staat te luisteren op WAN poort 7547 en waarbij dat ook niet uit te zetten is. Je hoeft als gebruiker/admin dan ook niets te doen - een aanvaller kan een pakketje richting je router sturen op die poort, en je bent al de pineut.
Nederlandse providers getroffen?
dit heeft niks met de providers te maken maar met het consumenten spul wat men zelf aanschaft voor extra wifi/kabel toegangs-punten in huis de meeste providers leveren hun eigen closed hardware

fritsbox is van AVM en word vooral gebruikt bij DSL connecties
cisco/Ubee modem router combi bij ziggo en een horizon box bij upc
over het algemeen kun je verwachten dat die wel meer ondersteuning krijgen en hier dus niet zo snel last van hebben en als dat wel het geval is zullen de providers vaak snel een firmware update uit zetten.

de producten die in die lijst staan worden niet standaard geleverd door de providers hier in nederland

Edit: ik zie nu dat dit ook om combi modem/routers gaat die providers leveren
excuses!

[Reactie gewijzigd door firest0rm op 18 december 2014 22:05]

de producten die in die lijst staan worden niet standaard geleverd door de providers hier in nederland
Er staat hier anders een Huawei te pruttelen, bij een Online-abonnement gekregen.
een huawei wat?
modem router combinatie?
een losse router?
exacte model?

ik weet zelf dat KPN xs4all en tele2 vooral Fritsboxen leveren bij DSL connecties...
of is dit een glasvezel provider?

het gaat er vooral om dat de modem/router combi's die in bruikleen zijn door klanten dit soort lekken niet hebben.

[Reactie gewijzigd door firest0rm op 18 december 2014 21:47]

Zyxel bij Telfort (echt een prut ding)
Allang om laten ruilen voor een betere.
Inderdaad. Wat een bagger spul is dat!
ik ben aan het overwegen om dit ding aan te schaffen:
pricewatch: AVM Fritz!box Fon WLAN 7570

Kan dat rotding weg en heb je nog steeds maar 1 apparaat in huis. Dit is de goedkoopste van AVM/Fritzbox die VDSL ondersteund en wifi op 5Ghz ondersteund (er zijn 38 andere 2,4GHz wifi netwerken in mijn huis te ontvangen 8)7 ).
Ik ben eigenlijk ook aan het kijken naar alternatieven. Het liefst waarbij ook open-source platformen mogelijk zijn :)

Wij hebben constant problemen met o.a. wifi (signaal valt snel weg, buffert niet etc). Weinig mogelijkheden...

Zal zeker ook komen door wifi-interferentie, maar voorheen nooit zoveel gezeik gehad. Ik hoef er maar een paar meter vanaf te zitten en dan begint het gezeik al :P

Ik heb overigens deze:
http://www.consumentenbon...an/vgv7519-experia-box-v8

[Reactie gewijzigd door relativity op 19 december 2014 14:09]

jou Huawai staat er niet tussen.
Tele2 levert D-Link.
Mijn DV-2020 staat niet in de lijst.
Waarom niet? Vodafone zet zakelijk ook Huawei routers is.

Type weet ik niet
Gelukkig staan de zte h220n en h368n die KPN gebruikt er niet tussen :)

Edit: Typo

[Reactie gewijzigd door ExtendedCaesar op 19 december 2014 08:22]

Zijn dit de modellen van de experiaboxen? Ik heb V9 volgens mij, weet uit m'n hoofd niet welk model nr. deze heeft.
V9 is de h368n die ExtendedCaesar beschreef.
V9 is idd de H368N. Daarvoor had je de V8, een Arcadyan modem. De H220N is wat de "V7" zou zijn, hoewel deze officieel nooit zo is genoemd.
scheelt weer, had nog niet eens gekeken of die er tussen staan
username: admin
password: admin
Zo moeilijk is het nou ook weer niet bij de meeste routers :)
Bij Xperiabox van KPN (ZTE model, volgens mij is dat de V7) is de default:
username: admin
password:
Het wachtwoord is in eerste instantie leeg. De kans is groot dat veel mensen dat ding ergens neerzetten en alleen met de kabel verbinding maken of via het Wifi wachtwoord die standaard is ingsteld (te vinden op de sticker van de router.)
Stickers zijn wat lastig om te vinden tijdens wardriven, maar de fabrieksinstructies zijn helder genoeg... Helaas wel de realiteit dat die bij 80% van de routers nog staan waarop ze staan.
Dat is dan ook niet de verdediging waar de ISP op hoopt, die verwachten met de WPA-sleutel de boel voldoende dichtgetimmerd te hebben. Zover ik weet is er geen directe relatie tussen SSID en password.
Bij KPN is het SSID vermoedelijk niet gekoppeld aan het wachtwoord. Althans dat hoop ik. Bij Telenet zou dit wel het geval zijn geweest.
nieuws: Standaard-wifi-wachtwoorden Telenet-modems kunnen worden afgeleid van ssid

Verder is het ook niet erg dat het wachtwoord van de router op een sticker is af te lezen, het vreemde vind ik dat er (in ieder geval 2 jaar geleden), modems worden geleverd zonder een wachtwoord voor de admin.
Meer info over de standaard wachtwoorden van o.a. de ZTE is hier te vinden:
http://kpn-customer.custh...ers/detail_page/a_id/9975
Bij kpn is het juist altijd zo geweest dat je heel simpel het wachtwoord kon achterhalen door middel van een tooltje , puur omdat ze een gekraakte sleutel gebruikten. Zelfs tot op heden kom ik soms nog wel is een kastje ervan tegen.
Alleen zo jammer dat wps dan ook weer meestal default aanstaat wat dan weer makkelijk te brute forcen is...
Volgens mij is het zo dat je bij de eerste login verplicht bent om een wachtwoord in te stellen.
Vandaar dat hij leeg is.
Defense in depth is de enige verdediging tegen dit soort nare bugs.

De eerste stap is dat je admininterfaces alleen maar toegankelijk maakt voor trusted IP-adressen (dus alleen je LAN-adressen bvb). Als je direct vanaf het internet erbij wilt moeten kunnen, dan via VPN. Maar liever zo beperkt mogelijk toegang.

Op die manier voorkom je dat hackers van buitenaf bij je routers kunnen.

En zelfs voor die 'trusted' ip-adressen wil je het liefst dat je door middel van een andere interface eerst een tijdelijke ontheffing creeert, in plaats van dat je er altijd zonder meer vanaf kunt verbinden.

Op die manier voorkom je dat als iemand al je netwerk is binnen gedrongen, dat hij zonder meer ook de routers kan overnemen. Bijvoorbeeld als je malware binnen krijgt, willen daar nog wel eens dit soort aanvallen in zitten.

[Reactie gewijzigd door Keypunchie op 18 december 2014 20:51]

Persoonlijk heb ik toegang tot het controlepaneel beperkt tot de ethernet poort van een van mijn laptops. Dan kan er alleen iets aangepast worden als ik dat ook echt zelf wil.
Nu maar hopen dat jouw provider dat ook gedaan heeft bij haar kabel/ADSL modem O-)
Ik ben op zulk security gebied totaal niet thuis; maar hoe werkt zo iets dan, dat de router admin rechten toekent als er een geheugenfout optreed? Dat klinkt alsof zo'n feature ergens in moet zitten waar je dan misbruik van maakt en een veiligheid bypassed ofzo..?
Niet zozeer 'een' geheugenfout maar een specifieke geheugenfout. Immers het pakketje dat je opstuurt is meer zoiets als "H modem, ik ben een admin, kijk hier mijn token-bewijs".
Simpel gezegd, gaat bij het controleren van dit token dan iets fout waardoor per abuis de controle altijd "klopt" en de remote request inderdaad als admin wordt toegelaten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True