Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties

Asus heeft voor een aantal routers, al dan niet met ge´ntegreerd dsl-modem, nieuwe firmware uitgebracht. Deze patches moeten een gevaarlijk lek dichten, waarbij een aanvaller via het lokale netwerk volledige adminrechten kan verkrijgen.

De updates zijn door Asus uitgebracht voor de DSL-AC68U, RT-AC56U, RT-AC66U, RT-AC68U, RT-AC87U, RT-N56U en RT-N66U. Asus heeft ook updates voor de alternatieve Merlin-firmware beschikbaar gemaakt. Met de firmware-updates dicht Asus een lek dat eerder deze maand werd gepubliceerd op GitHub. Ook is er  exploitcode online verschenen.

De bug is aanwezig in de zogeheten infosvr-service. Deze scant het lokale netwerk op zoek naar andere routers. In de kwetsbare firmwareversies draait infosvr met volledige rootrechten. Bovendien kan een aanvaller door een bug in de service via een udp-broadcast op poort 9999 volledige adminrechten verwerven, waarna de instellingen veranderd kunnen worden.

Hoewel de kwetsbaarheid alleen via het lokale netwerk benut kan worden, en dus niet via internet, is het verkrijgen van volledige adminrechten door een aanvaller risicovol als de router bijvoorbeeld wordt gebruikt voor het aanbieden van publieke hotspots. Voor routermodellen die nog geen update hebben gekregen, zijn er een aantal workarounds beschikbaar. Zo kan de service handmatig uitgeschakeld worden en kan de firewall poort 9999 blokkeren.

Moderatie-faq Wijzig weergave

Reacties (48)

De correctie versie voor Merlin is:
376.49_5 (9-Jan-2015)
- FIXED: Vulnerability in infosvr (CVE-2014-9583) (Asus bug)
- FIXED: Additional security issue in infosvr (incorrect memcpy()
call) (Asus bug)

Downloads:
https://www.mediafire.com...q2a6aebq68/Asuswrt-Merlin
Ik gebruik de N66U die word haast niet meer ge update. dus gisteren Merlin erop geknald kan ik m weer gaan updaten :D
Blij dat Merlin zo alert was. Zijn fix kwam op dezelde dag uit dat de kwetsbaarheid bekend werd.
Idd draai ook al de laatste versie, regelmatig controleren op updates heeft zo zijn voordelen :)
Ik krijg liever een mailtje over updates dan zelf regelmatig in webinterface op "controleer op updates" te klikken.
Hoevelen melden zich daarvoor aan? Hoeveel van die mails verdwijnt dan uit het zicht via de spamfolder?
Veel fijner dan e-mails vind ik de inventaris lijst van tweakers waarbij je notificaties kunt aan zetten voor updates over de producten die je erin zet.
Mail van fabrikant whitelisten en klaar.
Dat controleren op updates werkt niet goed. Die gaf gisteren nog aan dat er niks nieuws was terwijl dat wel het geval was. Beter is het de site af en toe controleren. Een nieuwsbrief die wel op tijd over nieuwe firmware bericht zou ook welkom zijn.
BIj deze update staat bij de release notes op de asus site niet specifiek dat je een complete hardreset moet uitvoeren (5 sec reset button indrukken). Stond bij 2 updates daarvoor wel vermeld. Ik kom van een firmware nog voor de versie waarbij je hard moet resetten. Als ik nu meteen naar de nieuwste versie ga en de 'hard reset' firmware oversla: moet ik dan wel of niet hard resetten? Ik heb nl redelijk wat afwijkende settings en wil liever niet alles opnieuw instellen....
Hier ben ik ook wel benieuwd naar.
Zit namelijk met het zelfde, en ook 1 van de redenen waarom dik de bewuste update had "overgeslagen".
Ik heb deze week 2x een update gedaan met de merlin firmware (was een jaartje geleden) en moest geen hard reset doen.
Voor de Merlin Fork is de patch ook al een week bsb

Highlights

- Includes Merlin's temporary fixes for ASUS infosvr LAN-side security vulnerability

http://forums.smallnetbuilder.com/showthread.php?t=18914

[Reactie gewijzigd door Heppieboeddah op 16 januari 2015 10:30]

Dat was een tijdelijke fix, zoals ook in de omschrijving staat. " temporary fixes"
Nu is het echt gefixed.
Wat is het voordeel van die specifieke fork?
Hmm vreemd dat de Asus RT-AC56U niet in dit rijtje staat. Die heeft dus nog wel gewoon beide bugs, ook met Merlin.

Edit: toch wel gefixed, staat in de link hierboven.

[Reactie gewijzigd door Jazco2nd op 16 januari 2015 10:39]

Volgens Asus is dat ook voor de RT-AC56U verholpen in versie 3.0.0.4.376.3754 van de firmware.
wat raar is, is dat de automatische update van de asus rt-ac68-u de nieuwe versie met zo'n belangrijke update niet ziet en roept dat de .376 de meest recente is...

zojuist de update er gelijk ingeklapt.
Dat heb ik bij vorige versies al veel vaker gehad maar dus niet bij deze. Dus dat er "geen" nieuwe versie beschikbaar zou zijn maar als je dan op de asus site keek stond er gewoon een nieuwere.
Volgens mij heb ik mijn router al gepatched idd met de merlin firmware. Ik controleer zelf met regelmaat of er nieuwe firmware beschikbaar is.
Kun je uitleggrn wat de verschil is tussen de orgineel en tussen Merlin firmware?
Je vraag past niet echt in dit topic maar bij deze de feature list van de merlin software (t.o.v.) standard asus. "Unleash the beast ;-) "

http://asuswrt.lostrealm.ca/features
Hartelijk dank, ookal was mijn vraag niet ontopic.

Is dat een opensource firmware? Is het beter dan de orgineele firmware?


Als we hier toch over hebben... Wat voor soort firmware's kun je erop zetten dan Merlin?

Graag je mening hierover
Beter is altijd relatief hŔ, als je vlan's etc nodig hebt of openvpn wilt gebruiken op bijvoorbeeld een AC66U, waar het standaard niet mogelijk is dan is het al de moeite.

Zelf presenteert hij zich als degene die bugs eerder oplost dan Asus en verbeteringen aandraagt tov standaard asus functionaliteit. Persoonlijk is dat voor mij geen reden.

De openvpn server was voor mij de reden in ieder geval. Ik durf niet te zeggen of het in de standaard firmware al mogelijk is om vlans te gebruiken maar door het geknutsel met iptv/telefonie/internet gebruik ik ze wel. Laat ik het zo zeggen, na heel wat (consumenten) routers geprobeerd te hebben, heb ik hier het beste gevoel bij en vind ik het fijner werken dan DD-wrt (wederom persoonlijk).

Je kunt hem altijd terugflashen trouwens, je sloopt niets en kunt firmwares op de normale manier bijwerken (ipv elke keer een gewenste 30/30/30 reset van dd-wrt etc).

Qua open source is het al beantwoord :-) Andere firmwares zijn bijv dd-wrt of tomato.

Leesvoer als je het leuk vindt met eveneens reacties van "merlin" zelf.
http://forums.smallnetbuilder.com/showthread.php?t=16397

[Reactie gewijzigd door lennartb op 16 januari 2015 13:09]

Ja dat staat notabene op de site:
Asuswrt-Merlin is published under the GPLv2 license. The source code is published on Github where it can be browsed from the web, or checked out using a git client.

Beter? Dat is denk ik persoonlijk, ligt er voornamelijk aan of je een van de extra features wil gebruiken :)
In versie 376.49_5 (Merlin, 9-1-2015) zit deze fix in verwerkt

-lol same post

[Reactie gewijzigd door ionicdog op 16 januari 2015 10:17]

Hoewel de kwetsbaarheid alleen via het lokale netwerk benut kan worden, en dus niet via internet, is het verkrijgen van volledige adminrechten door een aanvaller risicovol als de router bijvoorbeeld wordt gebruikt voor het aanbieden van publieke hotspots.
Of als je een trojan op een machine in het netwerk krijgt. Payload uitvoeren, router compromiteren, trojan verwijderen, paar weekjes rustig houden en je hebt er een router in een botnet bij, of eentje die je DNS queries voor je bank onderschept en vervangt door phishing sites, of eentje die niet-encrypte verbindingen captured en username/password combo's doorstuurt naar een control server, of vanuit de router payloads op machines in de rest van het netwerk installeert enz. enz.

[Reactie gewijzigd door Maurits van Baerle op 16 januari 2015 10:26]

Padavan firmware zal ook al wel gefixt zijn, alhoewel ik het niet zo snel kan vinden in de source.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True