Miljoenen routers kwetsbaar voor aanval met gemanipuleerde cookies

Naar schatting meer dan 12 miljoen routers van onder andere D-Link, Huawei, TP-Link, ZTE en Zyxel zijn aan te vallen door in een http-pakketje een aangepast cookiebestand te sturen. De aanvalsmethode kan een hacker volledige toegang geven tot de admin-interface.

De bug, die Misfortune Cookie is genoemd, is ontdekt door onderzoekers van Check Point Software. De weeffout is te vinden in RomPager, een embedded webserver die in miljoenen routers en gateways is te vinden. Door een aangepast cookie in een http-pakketje naar een kwetsbaar apparaat te sturen, ontstaat een geheugenfout. Hierdoor worden admin-rechten gegeven aan elke sessie, waardoor een aanvaller een router of gateway eenvoudig kan herconfigureren.

Check Point noemt Misfortune Cookie een ernstige kwetsbaarheid, mede door de eenvoud van de aanval en omdat er naar schatting zeker 12 miljoen apparaten kwetsbaar zijn door de bug in RomPager. Alleen via een firmware-update van de fabrikant kunnen apparaten worden bijgewerkt. In bepaalde gevallen kan een internetprovider of fabrikant deze procedure op afstand starten, maar er zijn ook situaties dat een gebruiker handmatig een update door het flashen van de firmware moet uitvoeren.

Tot nu toe heeft Check Point door middel van een scan op diverse poorten kwetsbare netwerkapparatuur van onder andere D-Link, Huawei, TP-Link, ZTE en Zyxel aangetroffen in meer dan 200 verschillende producttypen. De modelnummers zijn in een pdf-document te vinden.

Door Dimitri Reijerman

Redacteur

Feedback • 18-12-2014 20:31123

18-12-2014 • 20:31

123 Linkedin

Lees meer

FTC dient klacht tegen D-Link in om onveilige ip-camera's en routers Nieuws van 6 januari 2017
Lek gaf toegang tot routers van miljoenen Duitsers Nieuws van 23 december 2015
Linksys-routers zijn kwetsbaar door meerdere cgi-scripts Nieuws van 8 december 2015
'Veilige' browserfeature laat websites gebruikers volgen in incognitomodus Nieuws van 7 januari 2015
Critici beschuldigen makers van populaire Tor-router van oplichterij Nieuws van 16 oktober 2014
Belkin-routers verliezen massaal internetverbinding door firmwarebug Nieuws van 8 oktober 2014
'Slimme thermostaten van Heatmiser zijn kwetsbaar voor aanvallen' - update Nieuws van 22 september 2014
EFF brengt testversie Open Wireless Router-firmware uit Nieuws van 21 juli 2014
Kabelmodems Cisco bevatten gevaarlijk lek - update Nieuws van 17 juli 2014
Linksys start volgende week verkoop WRT1900AC voor 279 euro Nieuws van 10 april 2014
Weinig populaire Nederlandse sites zijn kwetsbaar voor kritieke OpenSSL-bug Nieuws van 9 april 2014
Onderzoekers simuleren virus-uitbraak via wifi-toegangspunten Nieuws van 26 februari 2014
Meer producten en artikelen
Modems en routers Netwerk en systeembeheer

Reacties (123)

-Moderatie-faq
123
123
101
9
1
2
Wijzig sortering
Huismus
18 december 2014 20:37
Misschien belangrijk om op te merken is dat je router hierdoor alleen aangevallen kan worden door gebruikers van apparaten die ermee verbonden zijn (dus niet iedereen op internet, alleen mensen in je LAN).
Eloy
@Huismus18 december 2014 20:47
CSRF?

Hier is trouwens een pdf'je met meer informatie dan alleen het pdf'je met modennummers:
http://mis.fortunecook.ie...protection-whitepaper.pdf
Anoniem: 297189
@Eloy18 december 2014 21:17
Het blijkt dat het gaat om een bug in de embedded RomPage webserver van Allegrosoft die al in 2005 (!!!) gefixt werd. Maar omdat routerchipfabrikanten met hun firmware en software development kits nogal achter kunnen lopen (en daarbij de routerfabrikanten zelf nog verder achter kunnen lopen) kan het probleem nog bij recente modellen voorkomen.

Het lijkt me duidelijk dat de problemen geconcentreerd zijn bij routers met bepaalde chipsets van een of meerdere chip-fabrikanten die hun firmware niet goed bijwerkt hebben, in combinatie met laksheid van de routerfabrikant. Chipfabrikanten op deze markt zijn onder andere Broadcom en Ralink (nu MediaTek).
kimborntobewild
@Anoniem: 29718919 december 2014 19:40
"in combinatie met laksheid van de routerfabrikant."
Die laksheid kan alleen door overheden worden aangepakt. Aangezien overheden er belang bij hebben dat alles hackable is, zullen zij dat niet aanpakken.
hcQd
@Eloy18 december 2014 20:56
Ik denk niet dat je eigen browser spontaan speciaal aangepaste cookies gaat verzenden.
Eloy
@hcQd18 december 2014 21:03
Uiteraard niet. Maar je kan een pagina maken die dat doet, en als dan een bezoeker van die pagina dan 1 van deze router modellen gebruikt kunnen DNS instellingen worden aangepast.
PyromateNL
@Eloy18 december 2014 21:19
Of dan vervolgens een automatisch script laten draaien:

1. ff met java local IP mee pakken + gw
2. cookie script draaien -> naar Router
3. script openWebAdmin(localip);
4. http call naar je webserver om het ip te krijgen.
5. jij logt in op die router. (evt. vpn op zetten voor jezelf)
6. je bent op het netwerk LAN.

En dan kun je nog veel meer doen.
Dus opzich nog wel gevaarlijk ook al ben je niet direct met LAN verbonden.
Anoniem: 642703
@PyromateNL18 december 2014 21:46
Je bent me voor, ik dacht dat inderdaad ook al. Miljoenen apparaten makkelijk te kraken, dat is niet niks. En als de router is gekraakt is het meestal ook niet moeilijk om dan een stukje malware naar de rest van de gebruikers te verzenden. Hier gaat veel misbruik van gemaakt worden. Ik ben blij dat mijn router het superveilige besturingssysteem OpenBSD draait. Superhandig, lekker de boel beheren via SSH.
Armin
@Eloy19 december 2014 00:57
Maar je kan een pagina maken die dat doet, en als dan een bezoeker van die pagina dan 1 van deze router modellen gebruikt kunnen DNS instellingen worden aangepast.

Enkel indien je browser daar niet tegen beveiligd is. Wellicht dat Firefox/Chrome dit toelaten, maar bijvoorbeeld enhanced protected mode van IE zal zo'n request blokkeren.
Durandal
@Huismus18 december 2014 21:56
Misschien belangrijk om op te merken is dat je router hierdoor alleen aangevallen kan worden door gebruikers van apparaten die ermee verbonden zijn (dus niet iedereen op internet, alleen mensen in je LAN).
Niet waar dus. Als ik de bron lees:
Can’t you just use the vulnerability to patch it everywhere?

While theoretically that might be possible, performing such pervasive action on devices that are not in your possession would constitute a criminal charge in many countries, regardless of the well intention of the originator.
Iedereen kan dus toegang krijgen tot je router.
Armin
@Durandal19 december 2014 01:04
Iedereen kan dus toegang krijgen tot je router.

Wat je citeert stelt helemaal niet dat 'iedereen' dat wel kan. Het beantwoord enkel de domme vraag of men de kwetsbare apparaten (!) niet 'gewoon' kan patchen via het eigen lek.

De vraag is dus wat kwetsbaar is. Logica stelt dat een apparaat dat niet luistert op een bepaalde interface kan ook niet gehached worden via die interface. Packets worden immers gewoon gedelete op een netwerklaag ver onder (of boven afhankelijk van je favoriete netwerkmodel) HTTP.

De vraag is dus welke netwerk-apparatuur standaard (of na user opt-in) luistert op het internet. Routers/modems van providers wellicht wel. Thuis-gebruik routers (bedoeld voor achter de modem) doorgaans niet.

EDIT: verduidelijking

[Reactie gewijzigd door Armin op 19 december 2014 01:08]

jist
@Huismus18 december 2014 20:46
Waar haal je deze kennis vandaan?

Ik lees er uit dat het er over gaat dat als je router onder de kwetsbare modellen valt en op afstand benaderbaar is, ook andere verbonden apparaten kwetsbaar kunnen zijn:

If your gateway device is vulnerable, then any device connected to it - including computers, phones, tablets, printers, security cameras, refrigerators, toasters or any other networked device in your home or office network - may have increased risk of compromise.
Huismus
@jist18 december 2014 23:05
Als je op de link in het artikel klikt en dan de paragraaf met de titel "How does it affect me?" leest, daar staat het.
Passkes
@Huismus18 december 2014 23:56
Nee dat staat er NIET!

Er staat:
If your gateway device is vulnerable, then any device connected to your network - including computers, phones, tablets, printers, security cameras, refrigerators, toasters or any other networked device in your home or office network - may have increased risk of compromise. An attacker exploiting the Misfortune Cookie vulnerability can easily monitor your Internet connection, steal your credentials and personal or business data, attempt to infect your machines with malware, and over-crisp your toast.
Als jouw router kwetsbaar is voor de misfortune cookie dan heeft elk apparaat dat in jouw netwerk hangt een verhoogd risico om misbruikt te worden. Een hacker die de misfortune cookie misbruikt kan zonder problemen je internet verbinding monitoren, je inloggegevens, persoonlijke en bedrijfsdata stelen. En je systemen proberen te infecteren met malware and toast laten aanbranden :).

Tevens staat in het artikel dat ze door een uitgebreide poortscan allerlei devices gevonden hebben op internet die kwetsbaar zijn. Het lijkt me dus dat je een deel van de apparaten wel kwetsbaar zijn vanaf internet, als ze data accepteren vanaf internet.

Edit: type foutjes en Aanpassing deel v/d apparaten na opmerking van Armin hieronder

[Reactie gewijzigd door Passkes op 19 december 2014 10:30]

Armin
@Passkes19 december 2014 00:49
Het lijkt me dus dat je wel kwetsbaar bent vanaf internet.

Je bent kwetsbaar als je apparaat data vanaf het internet accepteert. Je gewone thuis-router doet dat standaard niet. Je modem zoals gelevert door je provider mogelijk wel. Wie weet inderdaad wat die software doet, want daar heb jij geen controle over.

Weer een reden om die gemengde "alles in 1" te weigeren en je eigen router achter de kabel-modem te zetten. Bij de kabel-modem begint het internet, en dus het 'niet vetrouwde' netwerk. Door de ingebouwde router van je provider te gebruiken, ben je in feite het onveilige internet te verlengen tot rechtstreeks aan jouw computer.
lasharor
@jist18 december 2014 21:01
Hoe ben jij van plan om een: "aangepast cookie in een http-pakketje naar een kwetsbaar apparaat te sturen". Dit kan alleen als je een remote (bijv. via een vpn) of lokale verbinding (via een lan) hebt met de desbetreffende router.

Je kan dus ook niet zomaar elke willekeurige router gaan hacken met deze methode. Je zult namelijk eerst op een of andere manier verbinding moeten zien te maken. Dat gaat dus alleen als je op een of andere manier via een kabel het netwerk op kan komen, via een kwetsbare machine op het netwerk de router kan bereiken of gewoonweg het wifi wachtwoord weet.

Dit maakt deze hack natuurlijk niet minder gevaarlijk. Je kan imo zonder al te moeilijke handelingen routers op bedrijfsnetwerken, scholen en andere publieke instellingen van andere wachtwoorden voorzien.
the_stickie
@lasharor18 december 2014 21:14
Blijkbaar luistert de kwetsbare http parser ook vaak publiek op tcp/7547 voor de CWMP service...
Mithrildor
@lasharor18 december 2014 21:18
Dit kan prima met een beetje JavaScript op een webpagina. NoScript heeft in ieder geval tegen dit soort zaken bescherming ingebouwd (webpagina's mogen niet vragen om iets naar een beschermd ipadres te sturen), dus ik neem aan dat dit te misbruiken is bij mensen die hier geen beveiliging voor hebben draaien. Zo'n scriptje kan makkelijk in een advertentie gestopt worden en zo zouden criminelen hier op grote schaal misbruik van maken. Zo kunnen ze onder andere de DNS server aan passen, waardoor mensen bij het internet bankieren naar een malafide server gestuurd kunnen worden (gelukkig klopt het ssl certificaat dan niet). Dit is dus echt op grote schaal te misbruiken.
wica
@lasharor18 december 2014 21:21
TR-069 wordt toch door ISP gebruikt om de routers te beheren en te updaten?
Het probleem schijnt in de webserver van de device te zitten, RomPager van AllegroSoft en daarmee lijkt mij elke externe webinterface vatbaar van deze devices.

Overigens wil ik graag CVE-2014-9222 en CVE-2014-9223 inzien. Bij de NVD zijn ze nog niet bekent.
jist
@lasharor18 december 2014 21:06
Wie zegt dat ik dat van plan ben?
arjankoole
@jist18 december 2014 21:20
Wie zegt dat ik dat van plan ben?
dat is hypothetisch. hij daagt je uit een oplossing aan te dragen voor het probleem dat je als aanvaller zult tegenkomen, waarbij je de admin interface niet kunt benaderen.

the_stickie hieronder doet dat bijvoorbeeld, die beargumenteerd dat er nog een niet bijzonder zichtbare poort is, die aangevallen kan worden.
zvbhvb
@Huismus18 december 2014 22:30
Niet altijd:-)

http://www.gnucitizen.org/blog/flash-upnp-attack-faq/

UPnP is quite serious business and hacking it often leads to a catastrophic effect. The following is possible with UPnP:

portforward internal services (ports) to the router external facing side (a.k.a poking holes into your firewall and/or network)
portforward the router web administration interface to the external facing side.
port forwarding to any external server located on the Internet, effectively turning your router into a zombie: the attacker can attack an Internet host via your router, thus hiding their IP address (not all routers are affected by this, but most are)
change the DNS server settings so that next time when the victim visits bank.com, they actually end up on evil.com mascaraed as bank.com
change the DNS server settings so that the next time when the victim updates theirs favorite Firefox extensions, they will end up downloading evil code from evil.com which will root their system.
reset/change the administrative credentials
reset/change the PPP settings
reset/change the IP settings for all interfaces
reset/change the WiFi settings
terminate the connection
etc.
Niemand_Anders
@zvbhvb19 december 2014 12:12
Zelfs via de flash attack methode ben je technisch niet vanaf buitenaf kwetsbaar. Jouw browser download aan aangepaste SWF welke dus LOKAAL op jouw computer wordt gestart en op de achtergrond vanaf jouw computer de gateway (router) benaderd.

Via de flash attach kun je de upnp bug exploiten en op die manier de router manipuleren. Plug & Play hoort gewoon niet thuis op netwerk apparatuur..

Maar los daarvan, hackers maken vaak gebruik van een combinatie van exploits en/of tools. Zo kun je de flash unpnp exploit gebruiken om de admin port naar buiten open te zetten, vervolgens een simpele post (met enkele verzamelde gegevens) request naar een eigen server te doen zodat de hacker een seintje krijgt dat de machine open staat voor de volgende stap. Die volgende stap kan dan zijn om de aangepaste cookie te gebruiken om admin rechten te verkrijgen op de router (mits admin/admin niet werkt) en dan bijvoorbeeld handmatig bepaalde zaken open te zetten. Daarbij kijk je eerst wat de DHCP range van de router is, en daarna kun je via connected devices zien welke apparaten een vast IP hebben. Via portforwarding kun je dan bijvoorbeeld port 22 (ssh) of 3389 (RDP) openzetten en op die manier toegang tot computers en servers te krijgen en op die manier andere malware op de computer te krijgen.

Maar dit is slechts een 'willekeurige' attack. Daarbij heeft de hacker eigenlijk geen target voorkeur. Het maakt niet uit of jouw router open gezet wordt of die van de buurman. Als je fysiek in de buurt van je target kan komen (kantoor/woning) dan zijn er verschillende tools om de WiFi PSK te kraken waardoor je alsnog toegang tot het netwerk kan krijgen en daarna via een upnp, cookie of andere techniek toegang tot de router probeert te krijgen. Vooral particulieren controleren vrijwel nooit de instellingen van hun router zodra deze eenmaal na installatie werkt. Hierdoor kunnen instellingen later gedaan door een hacker zeer lang onopmerkt blijven waarna deze via de tal van forwards continue je netwerk weet te benaderen.

Maar het statement van Huisman blijft overeind. De admin interface is alleen vanaf lokale netwerk benaderbaar. Via tal van exploits kun je daar omheen werken, maar daarbij is het de hacker welke de admin interface extern benaderbaar maakt en niet de fabrikant of de gebruiker zelf..

Maar hoe lang denk je dat het duurt voordat jouw slimme thermostaat of energie meter gekraakt wordt? Feitelijk gezien zijn dat bots welke van een command server instructies krijgen. Normaal ben jij als gebruiker de enige welke die instructies in de queue (de app stuurt de instructies naar de queue, en periodiek kijkt de meter of thermostaat of er nieuwe instructies zijn) kan zetten, maar we weten allemaal ook serieus beveiliging in het algemeen wordt genomen..
Wim-Bart
@zvbhvb19 december 2014 16:49
Daarom....... UPnP altijd uit zetten. Nog een situatie gehad waar het nodig was om aan te zetten. Zelfs bij Gamen niet.
Johan9711
@Huismus18 december 2014 20:40
Hoe zit dat met een geforwarde admin interface? Dan is het toch zeker wel kwetsbaar?
dycell
@Johan971119 december 2014 01:03
Hoe zit dat met een geforwarde admin interface? Dan is het toch zeker wel kwetsbaar?
Indien je de beheerpagina van je router/modem open zet voor het gehele internet (en ik kan me niet voorstellen waarom iemand in vredesnaam dit zou doen) dan ben je vatbaar. Normaal zal ieder gerespecteerd router merk echter alleen op de LAN interface benaderbaar zijn.

[Reactie gewijzigd door dycell op 19 december 2014 01:03]

kimborntobewild
@dycell19 december 2014 19:37
"Normaal zal ieder gerespecteerd router merk echter alleen op de LAN interface benaderbaar zijn."
Bijvoorbeeld alle KPN-routers zijn via WAN benaderbaar. Immers, ze krijgen zo nu en dan gedwongen firmware updates.
GekkePrutser
@Huismus18 december 2014 21:31
Inderdaad, alleen lokaal.

En als de eigenaar van de router niet eens de moeite heeft genomen de standaard admin/admin paswoorden te veranderen, is het al helemaal geen extra probleem want dan is de router toch al zo lek als een mandje.

Het verbaast me namelijk hoe vaak dat niet gebeurt. Als ik mensen help met internet problemen is het vrijwel altijd het standaard wachtwoord. Ik heb zelfs routers gezien die geleverd waren door grote providers, en toch met standaard wachtwoorden ingesteld stonden.

[Reactie gewijzigd door GekkePrutser op 18 december 2014 21:31]

Zezura
@GekkePrutser18 december 2014 23:21
bij Ziggo onderanderen is dit nog steeds het geval bij de nieuwe wifi modems,
deze hebben als combinatie ziggo/draadloos.
Passkes
@Huismus18 december 2014 23:58
Je verhaal klopt niet als je uitgaat van de tekst die er staat van how does it affect me.
Daar staat namelijk nergens in de tekst dat je niet kwetsbaar bent van buitenaf.

Vervolgens staat er onderin het artikel dat ze een grote poortscan gedaan hebben, en vervolgens een hele lijst met apparaten hebben gevonden die kwetsbaar zijn voor de misfortune cookie. Het lijkt me dus dat 'alle' apparaten gekoppeld aan het inernet wel degelijk kwetsbaar zijn.

Edit: Zoals Armin hieronder aangeeft, kan ik inderdaad niet aannemen of alle apparaten aan het internet kwetsbaar zijn, echter door de scan gegevens zou ik moeten kunnen aannemen dat een deel van de apparaten wel kwetsbaar zijn.

[Reactie gewijzigd door Passkes op 19 december 2014 10:26]

Armin
@Passkes19 december 2014 01:22
en vervolgens een hele lijst met apparaten hebben gevonden die kwetsbaar zijn voor de misfortune cookie. Het lijkt me dus dat alle apparaten gekoppeld aan het inernet wel degelijk kwetsbaar zijn.

Ze hebben vanaf het internet gescant en dus zjin de gevonden apparaturu per definitie én kwetsbaar, én verbonden met het internet.

De conclusie dat "alle apparaten" verbonden met het internet kwetsbaar zijn is echter weer een stap verder. Die conclusie kun je niet trekken.

En wie hun whitepaper leest ziet dat het gaat om een heel selecte groep apparatuur, namelijk modems en andere zogenaamde CPE apparatuur van provders. Het gaat om een bug in het specifieke protocol zoals gebruikt om dit soort providers apparatuur (modems etc) te configureren en updaten vanaf het internet. Die staan vaak open richting de provider, en wellicht dan ook internet.

Maar er zijn maatregelen te nemen. Als jouw provider het specifieke mangement verkeer vanaf internet IP blokeert of hun routers wél geupdate had is er niets aan de hand.

Dus het is niet eens zo dat alle apparatuur van de specifieke types zoals in de PDF staan kwetsbaar zijn. Uiteraard mocht jouw modem erbij staan, zou ik even een mailtje sturen naar je provider.
the_stickie
@Huismus18 december 2014 20:53
De eerste alinea van de gelinkte pdf spreekt van remote takeover en hun website van wan to lan crossover.
Lijkt me wel dat je een http sessie op de webserver moet hebben om een crafted cookie te sturen, maar die details voor de exploit zijn niet bekend afaik.
edit: aanval is op http parser die meerdere poorten kan luisteren oa en in het bijzonder publiek op tcp/7547 voor cwmp

[Reactie gewijzigd door the_stickie op 18 december 2014 21:09]

Anoniem: 642703
@Huismus18 december 2014 21:40
Ja maar vergeet niet dat 1 stukje malware op 1 van die computers daar al voldoende voor is. Maar goed het lek is wel iets minder ernstig hierdoor, maar ik denk wel dat er misbruik van gemaakt gaat worden. Wat ben ik blij dat ik een superveilige OpenBSD router heb, waar ik alle controle over heb (hardware: apu1c van PC-Engines) woohoo! :) :p
mjz2c00l
@Huismus19 december 2014 10:50
kpn kan er van buitenaf ook bij toch? welke poort dit is weet ik niet, maar het is een poort die open staat, dus iedereen kan hier in principe bij komen
dj_nr1
19 december 2014 13:07
deze "onthulling" hebben ze al minimaal 2 weken achtergehouden, voor de naam van de vulnerability hebben ze een eigen domain name al 2 weken geleden aangemaakt ....

volgens https://who.is/whois/https://mis.fortunecook.ie

domain: fortunecook.ie
descr: CHECK POINT SOFTWARE TECHNOLOGIES (UK) LTD.
descr: Body Corporate (Ltd,PLC,Company)
descr: Discretionary Name
admin-c: ATY093-IEDR
tech-c: BOL1-IEDR
registration: 05-December-2014
renewal: 05-December-2015
bigsteve22
18 december 2014 20:42
En DD-WRT?
CAPSLOCK2000
@bigsteve2218 december 2014 20:45
DD-WRT is niet kwetsbaar want dat gebruikt geen RomPager.
Krusher
18 december 2014 20:39
Valt OpenWRT hieronder?

edit: Draait op uHTTPd, nee dus. pfew.

[Reactie gewijzigd door Krusher op 18 december 2014 20:49]

Petervanakelyen
@Krusher18 december 2014 20:57
Nee, RomPager is proprietary software en wordt derhalve niet gebruikt in OpenWRT.
Eloy
@Petervanakelyen18 december 2014 21:05
Lijkt me ook sterk als een dergelijk lek pas nu zou worden opgemerkt bij iets als OpenWRT. Die audits (door de vendor zelf) bij consumenten routers firmware zijn nou niet bepaald de beste ter wereld ;)
Anoniem: 642703
@Eloy18 december 2014 21:50
Als je echt een superveilige router wilt die je binnen 15 minuutjes kunt opzetten, kies OpenBSD. Zeer veilig en makkelijk te beheren via SSH, tenminste voor de Tweaker haha :p. Installatie + configuratie kan serieus binnen 15 minuten. Mijn advies wat je ermee doet moet je zelf weten :) .
Mijzelf
@Anoniem: 64270318 december 2014 22:01
Ik denk dat je wel langer bezig bent om OpenBSD op mijn router te zetten.
Anoniem: 642703
@Mijzelf18 december 2014 22:08
Ligt eraan. Op trage hardware kun je de installatie zelf, in 10 minuten doen, tenminste dat is mijn ervaring. Hoezo denk jij dat het langer duurt om dat op jouw router te zetten? Weinig ondersteuning voor jouw hardware? Gewoon een vraag hoor :) .
Mijzelf
@Anoniem: 64270319 december 2014 09:47
Weinig ondersteuning is zwak uitgedrukt. Volgens de hardware lijst is er geen ondersteuning voor 32 bits mips. Wat de meeste dedicated consumentenrouters draaien.
En zelfs al zou er wel een 32 bits mips port bestaan, je hoeft alleen de developer fora van OpenWRT maar te lezen om te zien wat een stap je moet maken van ondersteuning van architectuur naar ondersteuning van een specifieke implementatie.,
3dmaster
@Anoniem: 64270319 december 2014 13:36
Of gebruik pfsense. :) nog makkelijker.
Anoniem: 642703
@3dmaster19 december 2014 13:40
Kan ook, maar ik hou meer van maximale beveiliging, er draait nu alleen maar een dhcp-server, SSH-server (alleen lokaal te benaderen) op en de Packet Filter, kortom lekker simpel en superveilig, en makkelijk uit te breiden in de toekomst als dat nodig is. Onderhoud is ook bijna 0. Maar ieder zijn eigen smaak PFsense is ook goed. :)
Eloy
@Anoniem: 64270320 december 2014 16:43
Zeker waar. Ik gebruik ook OpenBSD, alleen (nog) niet thuis als router :P

pf is echt geweldig, en het is natuurlijk zeer veilig.
Mimiix
@Krusher18 december 2014 20:45
Ik draai dd wrt. Vraag me dit inderdaad ook af.
Wim-Bart
@Mimiix19 december 2014 16:57
DD WRT is geen probleem.
harley
18 december 2014 20:36
Dat is dan geen misselijk lek. Jammer dat waarschijnlijk het gros van de getroffen apparaten gen ondersteuning meer hebben of geen update hiervoor zullen krijgen waardoor veel mensen kwetsbaar blijven.

Vind het wel een klein beetje wij van wc eend gevoel hebben. Je kunt namelijk HUN software kopen tegen gerduceerd tarief om het tegen te gaan en hun hardware kent de fout niet......

[Reactie gewijzigd door harley op 18 december 2014 20:41]

pizzafried
@harley18 december 2014 23:40
iig de modems die je bij je internet krijgt (in NL dan) kan vervangen worden door providers.

overigens vind ik dit lijstje een tikkeltje onoverzichtelijk, ze hadden ze beter kunnen groeperen op merk. Nu staat Huawei, die maar een 5 tal apparaten in die lijst heeft, verdeeld over de pagina.
Remco Kramer
@harley19 december 2014 11:20
En degene die een model hebben die wel te updaten valt, lezen dit nieuws niet en/of hebben ook geen flauw benul hoe de router geupdate moet worden :)
Thijs_ehv
18 december 2014 20:56
Tjah.. als je je router webinterface voor de buitenwereld open zet ben je sowieso slecht bezig.
En hier blijkt (weer) waarom.
Johan9711
@Thijs_ehv18 december 2014 21:05
Dat is niet waar. In sommige gevallen kan het nodig zijn, en wanneer je een goede firewall / beveiliging heb zou het geen probleem (mogen) zijn.
Anoniem: 390875
@Thijs_ehv18 december 2014 21:32
Helaas is het blijkbaar niet zo simpel. Het maakt gebruik van de web server, die bij veel van deze modellen altijd staat te luisteren op WAN poort 7547 en waarbij dat ook niet uit te zetten is. Je hoeft als gebruiker/admin dan ook niets te doen - een aanvaller kan een pakketje richting je router sturen op die poort, en je bent al de pineut.
johnkessels87
18 december 2014 20:36
Nederlandse providers getroffen?
firest0rm
@johnkessels8718 december 2014 21:16
dit heeft niks met de providers te maken maar met het consumenten spul wat men zelf aanschaft voor extra wifi/kabel toegangs-punten in huis de meeste providers leveren hun eigen closed hardware

fritsbox is van AVM en word vooral gebruikt bij DSL connecties
cisco/Ubee modem router combi bij ziggo en een horizon box bij upc
over het algemeen kun je verwachten dat die wel meer ondersteuning krijgen en hier dus niet zo snel last van hebben en als dat wel het geval is zullen de providers vaak snel een firmware update uit zetten.

de producten die in die lijst staan worden niet standaard geleverd door de providers hier in nederland

Edit: ik zie nu dat dit ook om combi modem/routers gaat die providers leveren
excuses!

[Reactie gewijzigd door firest0rm op 18 december 2014 22:05]

TerraGuy
@firest0rm18 december 2014 21:37
de producten die in die lijst staan worden niet standaard geleverd door de providers hier in nederland
Er staat hier anders een Huawei te pruttelen, bij een Online-abonnement gekregen.
firest0rm
@TerraGuy18 december 2014 21:40
een huawei wat?
modem router combinatie?
een losse router?
exacte model?

ik weet zelf dat KPN xs4all en tele2 vooral Fritsboxen leveren bij DSL connecties...
of is dit een glasvezel provider?

het gaat er vooral om dat de modem/router combi's die in bruikleen zijn door klanten dit soort lekken niet hebben.

[Reactie gewijzigd door firest0rm op 18 december 2014 21:47]

Jazco2nd
@firest0rm19 december 2014 08:38
Zyxel bij Telfort (echt een prut ding)
JDDD
@Jazco2nd19 december 2014 11:36
Allang om laten ruilen voor een betere.
relativity
@Jazco2nd19 december 2014 10:02
Inderdaad. Wat een bagger spul is dat!
Jazco2nd
@relativity19 december 2014 11:24
ik ben aan het overwegen om dit ding aan te schaffen:
pricewatch: AVM Fritz!box Fon WLAN 7570

Kan dat rotding weg en heb je nog steeds maar 1 apparaat in huis. Dit is de goedkoopste van AVM/Fritzbox die VDSL ondersteund en wifi op 5Ghz ondersteund (er zijn 38 andere 2,4GHz wifi netwerken in mijn huis te ontvangen 8)7 ).
relativity
@Jazco2nd19 december 2014 14:07
Ik ben eigenlijk ook aan het kijken naar alternatieven. Het liefst waarbij ook open-source platformen mogelijk zijn :)

Wij hebben constant problemen met o.a. wifi (signaal valt snel weg, buffert niet etc). Weinig mogelijkheden...

Zal zeker ook komen door wifi-interferentie, maar voorheen nooit zoveel gezeik gehad. Ik hoef er maar een paar meter vanaf te zitten en dan begint het gezeik al :P

Ik heb overigens deze:
http://www.consumentenbon...an/vgv7519-experia-box-v8

[Reactie gewijzigd door relativity op 19 december 2014 14:09]

TerraGuy
@firest0rm18 december 2014 22:06
ADSL, en het betreft een Huawei HD655d.
firest0rm
@TerraGuy18 december 2014 22:08
jou Huawai staat er niet tussen.
Kalief
@firest0rm19 december 2014 10:16
Tele2 levert D-Link.
Mijn DV-2020 staat niet in de lijst.
repmeer
@firest0rm18 december 2014 21:52
Waarom niet? Vodafone zet zakelijk ook Huawei routers is.

Type weet ik niet
mjz2c00l
@firest0rm18 december 2014 21:44
zte bij kpn
ExtendedCaesar
@mjz2c00l19 december 2014 08:21
Gelukkig staan de zte h220n en h368n die KPN gebruikt er niet tussen :)

Edit: Typo

[Reactie gewijzigd door ExtendedCaesar op 19 december 2014 08:22]

Gerco90
@ExtendedCaesar19 december 2014 10:59
Zijn dit de modellen van de experiaboxen? Ik heb V9 volgens mij, weet uit m'n hoofd niet welk model nr. deze heeft.
mszwolle
@Gerco9019 december 2014 12:29
V9 is de h368n die ExtendedCaesar beschreef.
ExtendedCaesar
@Gerco9019 december 2014 17:52
V9 is idd de H368N. Daarvoor had je de V8, een Arcadyan modem. De H220N is wat de "V7" zou zijn, hoewel deze officieel nooit zo is genoemd.
mjz2c00l
@ExtendedCaesar19 december 2014 10:49
scheelt weer, had nog niet eens gekeken of die er tussen staan
maarten2424
18 december 2014 20:43
username: admin
password: admin
Zo moeilijk is het nou ook weer niet bij de meeste routers :)
Kiswum
@maarten242418 december 2014 21:11
Bij Xperiabox van KPN (ZTE model, volgens mij is dat de V7) is de default:
username: admin
password:
Het wachtwoord is in eerste instantie leeg. De kans is groot dat veel mensen dat ding ergens neerzetten en alleen met de kabel verbinding maken of via het Wifi wachtwoord die standaard is ingsteld (te vinden op de sticker van de router.)
FreezeXJ
@Kiswum18 december 2014 21:15
Stickers zijn wat lastig om te vinden tijdens wardriven, maar de fabrieksinstructies zijn helder genoeg... Helaas wel de realiteit dat die bij 80% van de routers nog staan waarop ze staan.
Dat is dan ook niet de verdediging waar de ISP op hoopt, die verwachten met de WPA-sleutel de boel voldoende dichtgetimmerd te hebben. Zover ik weet is er geen directe relatie tussen SSID en password.
Kiswum
@FreezeXJ18 december 2014 21:22
Bij KPN is het SSID vermoedelijk niet gekoppeld aan het wachtwoord. Althans dat hoop ik. Bij Telenet zou dit wel het geval zijn geweest.
nieuws: Standaard-wifi-wachtwoorden Telenet-modems kunnen worden afgeleid van ssid

Verder is het ook niet erg dat het wachtwoord van de router op een sticker is af te lezen, het vreemde vind ik dat er (in ieder geval 2 jaar geleden), modems worden geleverd zonder een wachtwoord voor de admin.
Meer info over de standaard wachtwoorden van o.a. de ZTE is hier te vinden:
http://kpn-customer.custh...ers/detail_page/a_id/9975
Aionicus
@Kiswum19 december 2014 01:50
Bij kpn is het juist altijd zo geweest dat je heel simpel het wachtwoord kon achterhalen door middel van een tooltje , puur omdat ze een gekraakte sleutel gebruikten. Zelfs tot op heden kom ik soms nog wel is een kastje ervan tegen.
Spekkie88
@FreezeXJ18 december 2014 21:38
Alleen zo jammer dat wps dan ook weer meestal default aanstaat wat dan weer makkelijk te brute forcen is...
the-dark-force
@Kiswum18 december 2014 21:36
Volgens mij is het zo dat je bij de eerste login verplicht bent om een wachtwoord in te stellen.
Vandaar dat hij leeg is.
mjz2c00l
@the-dark-force18 december 2014 21:51
dit ^
skunkopaat
@maarten242418 december 2014 20:48
8)7
Keypunchie
18 december 2014 20:41
Defense in depth is de enige verdediging tegen dit soort nare bugs.

De eerste stap is dat je admininterfaces alleen maar toegankelijk maakt voor trusted IP-adressen (dus alleen je LAN-adressen bvb). Als je direct vanaf het internet erbij wilt moeten kunnen, dan via VPN. Maar liever zo beperkt mogelijk toegang.

Op die manier voorkom je dat hackers van buitenaf bij je routers kunnen.

En zelfs voor die 'trusted' ip-adressen wil je het liefst dat je door middel van een andere interface eerst een tijdelijke ontheffing creeert, in plaats van dat je er altijd zonder meer vanaf kunt verbinden.

Op die manier voorkom je dat als iemand al je netwerk is binnen gedrongen, dat hij zonder meer ook de routers kan overnemen. Bijvoorbeeld als je malware binnen krijgt, willen daar nog wel eens dit soort aanvallen in zitten.

[Reactie gewijzigd door Keypunchie op 18 december 2014 20:51]

Mithrildor
@Keypunchie18 december 2014 21:21
Persoonlijk heb ik toegang tot het controlepaneel beperkt tot de ethernet poort van een van mijn laptops. Dan kan er alleen iets aangepast worden als ik dat ook echt zelf wil.
Armin
@Mithrildor19 december 2014 01:25
Nu maar hopen dat jouw provider dat ook gedaan heeft bij haar kabel/ADSL modem O-)
dsmeef
18 december 2014 21:07
Ik ben op zulk security gebied totaal niet thuis; maar hoe werkt zo iets dan, dat de router admin rechten toekent als er een geheugenfout optreed? Dat klinkt alsof zo'n feature ergens in moet zitten waar je dan misbruik van maakt en een veiligheid bypassed ofzo..?
Armin
@dsmeef19 december 2014 01:32
Niet zozeer 'een' geheugenfout maar een specifieke geheugenfout. Immers het pakketje dat je opstuurt is meer zoiets als "Hé modem, ik ben een admin, kijk hier mijn token-bewijs".
Simpel gezegd, gaat bij het controleren van dit token dan iets fout waardoor per abuis de controle altijd "klopt" en de remote request inderdaad als admin wordt toegelaten.
1 2 3 4

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee