Asus patcht gevaarlijk lek in router-firmware

Asus heeft voor een aantal routers, al dan niet met geïntegreerd dsl-modem, nieuwe firmware uitgebracht. Deze patches moeten een gevaarlijk lek dichten, waarbij een aanvaller via het lokale netwerk volledige adminrechten kan verkrijgen.

De updates zijn door Asus uitgebracht voor de DSL-AC68U, RT-AC56U, RT-AC66U, RT-AC68U, RT-AC87U, RT-N56U en RT-N66U. Asus heeft ook updates voor de alternatieve Merlin-firmware beschikbaar gemaakt. Met de firmware-updates dicht Asus een lek dat eerder deze maand werd gepubliceerd op GitHub. Ook is er exploitcode online verschenen.

De bug is aanwezig in de zogeheten infosvr-service. Deze scant het lokale netwerk op zoek naar andere routers. In de kwetsbare firmwareversies draait infosvr met volledige rootrechten. Bovendien kan een aanvaller door een bug in de service via een udp-broadcast op poort 9999 volledige adminrechten verwerven, waarna de instellingen veranderd kunnen worden.

Hoewel de kwetsbaarheid alleen via het lokale netwerk benut kan worden, en dus niet via internet, is het verkrijgen van volledige adminrechten door een aanvaller risicovol als de router bijvoorbeeld wordt gebruikt voor het aanbieden van publieke hotspots. Voor routermodellen die nog geen update hebben gekregen, zijn er een aantal workarounds beschikbaar. Zo kan de service handmatig uitgeschakeld worden en kan de firewall poort 9999 blokkeren.

Door Dimitri Reijerman

Redacteur

Feedback • 16-01-2015 10:1248

16-01-2015 • 10:12

48 Linkedin

Lees meer

ASUS RT-AC68U

vanaf € 42,99

Score: 4.5

Alles over dit product

ASUS RT-AC87U

geen prijs bekend

Score: 4

'Drivers voor Asus Aura Sync en Gigabyte Xtreme Engine bevatten kwetsbaarheden' Nieuws van 20 december 2018
ASUS RT-AC66U

geen prijs bekend

Score: 4.5

ASUS RT-AC66U B1 Zwart

vanaf € 120,40

Score: 4

Alles over dit product

Asus DSL-AC68U

vanaf € 255,69

Alles over dit product

Asus DSL-N55U

geen prijs bekend

Score: 3

Asus DSL-N66U

geen prijs bekend

Score: 1

ASUS RT-N12HP

geen prijs bekend

ASUS RT-N16

geen prijs bekend

Score: 3.5

ASUS RT-N56U

geen prijs bekend

Score: 4

Linksys-routers zijn kwetsbaar door meerdere cgi-scripts Nieuws van 8 december 2015
Groep plaatst uit protest lijsten met kwetsbare Asus-routers online Nieuws van 5 februari 2014
Onderzoekers vinden tientallen nieuwe lekken in populaire routers Nieuws van 5 augustus 2013
'Asus-routers zijn kwetsbaar door gaten in AiCloud-software' - update Nieuws van 16 juli 2013
Asus voorziet O!play Mini Plus van wifi Nieuws van 31 augustus 2011
Meer producten en artikelen
Modems en routers Netwerk en systeembeheer ASUS

Reacties (48)

-Moderatie-faq
48
48
35
1
0
3
Wijzig sortering
martijn86
16 januari 2015 10:16
De correctie versie voor Merlin is:
376.49_5 (9-Jan-2015)
- FIXED: Vulnerability in infosvr (CVE-2014-9583) (Asus bug)
- FIXED: Additional security issue in infosvr (incorrect memcpy()
call) (Asus bug)

Downloads:
https://www.mediafire.com...q2a6aebq68/Asuswrt-Merlin
michaell958
@martijn8616 januari 2015 13:54
Ik gebruik de N66U die word haast niet meer ge update. dus gisteren Merlin erop geknald kan ik m weer gaan updaten :D
Yggdrasil
@martijn8616 januari 2015 21:34
Blij dat Merlin zo alert was. Zijn fix kwam op dezelde dag uit dat de kwetsbaarheid bekend werd.
Dutchman01
16 januari 2015 10:22
Idd draai ook al de laatste versie, regelmatig controleren op updates heeft zo zijn voordelen :)
Soldaatje
@Dutchman0116 januari 2015 10:33
Ik krijg liever een mailtje over updates dan zelf regelmatig in webinterface op "controleer op updates" te klikken.
PcDealer
@Soldaatje16 januari 2015 10:42
Hoevelen melden zich daarvoor aan? Hoeveel van die mails verdwijnt dan uit het zicht via de spamfolder?
aeon_flux
@PcDealer16 januari 2015 11:15
Veel fijner dan e-mails vind ik de inventaris lijst van tweakers waarbij je notificaties kunt aan zetten voor updates over de producten die je erin zet.
kritischelezer
@PcDealer16 januari 2015 11:15
Mail van fabrikant whitelisten en klaar.
Anoniem: 463321
@Soldaatje16 januari 2015 11:04
Dat controleren op updates werkt niet goed. Die gaf gisteren nog aan dat er niks nieuws was terwijl dat wel het geval was. Beter is het de site af en toe controleren. Een nieuwsbrief die wel op tijd over nieuwe firmware bericht zou ook welkom zijn.
fry_35
16 januari 2015 11:48
BIj deze update staat bij de release notes op de asus site niet specifiek dat je een complete hardreset moet uitvoeren (5 sec reset button indrukken). Stond bij 2 updates daarvoor wel vermeld. Ik kom van een firmware nog voor de versie waarbij je hard moet resetten. Als ik nu meteen naar de nieuwste versie ga en de 'hard reset' firmware oversla: moet ik dan wel of niet hard resetten? Ik heb nl redelijk wat afwijkende settings en wil liever niet alles opnieuw instellen....
DutchCrownNL
@fry_3516 januari 2015 11:53
Hier ben ik ook wel benieuwd naar.
Zit namelijk met het zelfde, en ook 1 van de redenen waarom dik de bewuste update had "overgeslagen".
StGermain
@DutchCrownNL16 januari 2015 14:24
Ik heb deze week 2x een update gedaan met de merlin firmware (was een jaartje geleden) en moest geen hard reset doen.
210667
16 januari 2015 10:28
Voor de Merlin Fork is de patch ook al een week bsb

Highlights

- Includes Merlin's temporary fixes for ASUS infosvr LAN-side security vulnerability

http://forums.smallnetbuilder.com/showthread.php?t=18914

[Reactie gewijzigd door 210667 op 16 januari 2015 10:30]

SED
@21066716 januari 2015 10:37
Dat was een tijdelijke fix, zoals ook in de omschrijving staat. " temporary fixes"
Nu is het echt gefixed.
Zyphrax
@21066717 januari 2015 16:57
Wat is het voordeel van die specifieke fork?
Jazco2nd
16 januari 2015 10:37
Hmm vreemd dat de Asus RT-AC56U niet in dit rijtje staat. Die heeft dus nog wel gewoon beide bugs, ook met Merlin.

Edit: toch wel gefixed, staat in de link hierboven.

[Reactie gewijzigd door Jazco2nd op 16 januari 2015 10:39]

Anoniem: 202103
@Jazco2nd16 januari 2015 10:44
Volgens Asus is dat ook voor de RT-AC56U verholpen in versie 3.0.0.4.376.3754 van de firmware.
mrveenie
16 januari 2015 12:42
wat raar is, is dat de automatische update van de asus rt-ac68-u de nieuwe versie met zo'n belangrijke update niet ziet en roept dat de .376 de meest recente is...

zojuist de update er gelijk ingeklapt.
NINjak
@mrveenie16 januari 2015 12:56
Dat heb ik bij vorige versies al veel vaker gehad maar dus niet bij deze. Dus dat er "geen" nieuwe versie beschikbaar zou zijn maar als je dan op de asus site keek stond er gewoon een nieuwere.
Ntr-
16 januari 2015 10:20
Volgens mij heb ik mijn router al gepatched idd met de merlin firmware. Ik controleer zelf met regelmaat of er nieuwe firmware beschikbaar is.
Probook8979
@Ntr-16 januari 2015 11:39
Kun je uitleggrn wat de verschil is tussen de orgineel en tussen Merlin firmware?
lennartb
@Probook897916 januari 2015 11:43
Je vraag past niet echt in dit topic maar bij deze de feature list van de merlin software (t.o.v.) standard asus. "Unleash the beast ;-) "

http://asuswrt.lostrealm.ca/features
Probook8979
@lennartb16 januari 2015 11:53
Hartelijk dank, ookal was mijn vraag niet ontopic.

Is dat een opensource firmware? Is het beter dan de orgineele firmware?


Als we hier toch over hebben... Wat voor soort firmware's kun je erop zetten dan Merlin?

Graag je mening hierover
lennartb
@Probook897916 januari 2015 13:07
Beter is altijd relatief hè, als je vlan's etc nodig hebt of openvpn wilt gebruiken op bijvoorbeeld een AC66U, waar het standaard niet mogelijk is dan is het al de moeite.

Zelf presenteert hij zich als degene die bugs eerder oplost dan Asus en verbeteringen aandraagt tov standaard asus functionaliteit. Persoonlijk is dat voor mij geen reden.

De openvpn server was voor mij de reden in ieder geval. Ik durf niet te zeggen of het in de standaard firmware al mogelijk is om vlans te gebruiken maar door het geknutsel met iptv/telefonie/internet gebruik ik ze wel. Laat ik het zo zeggen, na heel wat (consumenten) routers geprobeerd te hebben, heb ik hier het beste gevoel bij en vind ik het fijner werken dan DD-wrt (wederom persoonlijk).

Je kunt hem altijd terugflashen trouwens, je sloopt niets en kunt firmwares op de normale manier bijwerken (ipv elke keer een gewenste 30/30/30 reset van dd-wrt etc).

Qua open source is het al beantwoord :-) Andere firmwares zijn bijv dd-wrt of tomato.

Leesvoer als je het leuk vindt met eveneens reacties van "merlin" zelf.
http://forums.smallnetbuilder.com/showthread.php?t=16397

[Reactie gewijzigd door lennartb op 16 januari 2015 13:09]

JerX
@Probook897916 januari 2015 12:01
Ja dat staat notabene op de site:
Asuswrt-Merlin is published under the GPLv2 license. The source code is published on Github where it can be browsed from the web, or checked out using a git client.

Beter? Dat is denk ik persoonlijk, ligt er voornamelijk aan of je een van de extra features wil gebruiken :)
ionicdog
16 januari 2015 10:16
In versie 376.49_5 (Merlin, 9-1-2015) zit deze fix in verwerkt

-lol same post

[Reactie gewijzigd door ionicdog op 16 januari 2015 10:17]

Maurits van Baerle
16 januari 2015 10:24
Hoewel de kwetsbaarheid alleen via het lokale netwerk benut kan worden, en dus niet via internet, is het verkrijgen van volledige adminrechten door een aanvaller risicovol als de router bijvoorbeeld wordt gebruikt voor het aanbieden van publieke hotspots.
Of als je een trojan op een machine in het netwerk krijgt. Payload uitvoeren, router compromiteren, trojan verwijderen, paar weekjes rustig houden en je hebt er een router in een botnet bij, of eentje die je DNS queries voor je bank onderschept en vervangt door phishing sites, of eentje die niet-encrypte verbindingen captured en username/password combo's doorstuurt naar een control server, of vanuit de router payloads op machines in de rest van het netwerk installeert enz. enz.

[Reactie gewijzigd door Maurits van Baerle op 16 januari 2015 10:26]

devil-strike
16 januari 2015 10:33
Padavan firmware zal ook al wel gefixt zijn, alhoewel ik het niet zo snel kan vinden in de source.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee