Linksys-routers zijn kwetsbaar door meerdere cgi-scripts

Linksys-routers van de serie EA6100 tot EA6300 zijn kwetsbaar door meerdere cgi-scripts. Deze scripts zijn te gebruiken door een ongeautoriseerde aanvaller, waardoor deze toegang kan krijgen tot het beheerderswachtwoord van het apparaat.

The Register meldt dat de kwetsbaarheden zijn gevonden door het bedrijf KoreLogic, dat een rapport over de bevindingen heeft gepubliceerd. Onder andere bootloader_info.cgi, sysinfo.cgi, ezwifi_cfg.cgi en qos_info.cgi kunnen gebruikt worden om de instellingen van de routers aan te passen. Hiermee kon bijvoorbeeld het beheerderswachtwoord achterhaald worden.

Er is op dit moment nog geen patch door Linksys beschikbaar, hoewel KoreLogic al in september contact heeft opgenomen met het bedrijf. The Register geeft aan niet te verwachten dat veel patches uitgevoerd zullen worden, omdat het gaat om consumentenmodellen. Het wordt gebruikers aangeraden om in ieder geval beheerderstoegang op afstand uit te schakelen op de getroffen apparaten.

Reacties (87)

PrivacyMind 8 december 2015 14:23

Er zou een verlichting moeten komen op het onderhouden van routers voor min 2 jaar. Een router is toch wel een belangrijk veelgebruikt apparaat. Het is slecht dat een apparaat waarmee je tot je thuisnetwerk zou kunnen komen zo slecht beveiligd is.

Douweegbertje @PrivacyMind • 8 december 2015 14:25

De updates en patches zijn er gewoon meestal wel, het is de gebruiker die er vervolgens niets mee doet.
Blijkbaar is het wel heel normaal om bijv. nieuwe bandjes te nemen voor je auto en/of winterbanden straks te gaan gebruiken. Je router (laten) updaten is dan opeens te moeilijk.

Anyways, 9 van de 10x is het pure onwetendheid dat zoiets bestaat.

Pharsalus @Douweegbertje • 8 december 2015 15:13

Het is Linksys, die doen niet aan updates

Mijn Linksys heeft nooit een update gehad, ondanks dat het apparaat alleen fatsoenlijk werkte als ik er direct naast zat. DD-WRT heeft dat probleem gelukkig opgelost.

IJsbeer @Pharsalus • 8 december 2015 15:34

En dat is dus precies de reden dat ik (oa) Linksys links laat liggen bij de aanschaf van een router. Er zijn maar weinig merken die het wat dat betreft beter doen.

Als genoeg mensen zo denken dan zullen ze wel een keer moeten. Al blijft dat natuurlijk een kleine groep mensen die de noodzaak van patches uberhaupt snappen

Tweade @IJsbeer • 8 december 2015 15:48

Zelf heb ik goede ervaring met Asus, die brengt zeer regelmatig updates uit.

MuVo @Tweade • 8 december 2015 16:23

Hier sluit ik mij bij aan! Asus werkt updates regelmatig bij.

RL600 @Tweade • 8 december 2015 20:42

Enige wat ik erg jammer vind is dat sommige updates niet erbij komen als je in de web GUI vraagt of er updates zijn. Je moet dan zelf even naar de site gaan. Het is geen ramp, maar toch...

jozuf @IJsbeer • 8 december 2015 18:45

Ik kijk altijd puur naar DD WRT ondersteuning voor routers en opzich doet LinkSys daar nooit slecht in.
Consumenten firmware is over het algemeen te beperkend. Vind het wel fijn om een lokale DNS (met DNSMasq enzo), openVPN etc te kunnen draaien.
Daarnaast word DDWRT behoorlijk actief ontwikkeld (een responsive interface zou een leuke stap zijn

). Mijn Netgear WDR3700v4 draait nog steeds prima mee met de updates.

[Reactie gewijzigd door jozuf op 23 juli 2024 09:32]

Borromini @jozuf • 9 december 2015 19:44

Dnsmasq stuurt nog steeds je aanvragen door, voor een echte lokale DNS-server heb je een zogenaamde recursieve DNS-server nodig

jozuf @Borromini • 9 december 2015 21:35

Tot op zekere hoogte ja. Je kan er static route/hostname combinaties mee maken, dat is waar ik het voor gebruik (handig voor intern netwerk). Daarnaast cached het ook.
Dus nee, het stuurt je aanvraag niet altijd door.

[Reactie gewijzigd door jozuf op 23 juli 2024 09:32]

mangahuisman @Douweegbertje • 8 december 2015 22:17

Er is nog geen update??!!! Dat word nooit meer een Linksys router dan?! is toch te gek voor woorden dit.

mkleinman

@Douweegbertje • 8 december 2015 15:27

Of je bent afhankelijk van je provider die een router levert. Daar zie ik ook zelden updates voor langs komen.

Douweegbertje @mkleinman • 8 december 2015 16:45

Volgens mij valt dat relatief gezien ook wel mee. Zeker de laatste tijd doen de wat grotere providers meer dan genoeg updates.

WCA

@mkleinman • 8 december 2015 16:51

Dat klopt., die zie je niet langskomen. Die worden onzichtbaar voor de gebruiker geupdate.

Anoniem: 148406 @Douweegbertje • 8 december 2015 14:31

Waarom denk je dat de technische keuring in het leven geroepen is? Voor die mensen die hun wagen keurig onderhouden?

RobbyTown

@PrivacyMind • 8 december 2015 14:31

Henk en Ingrid die een router kopen, weten dit toch niet. Enige helpt is auto update wat Synology sinds een tijdje in de nas firmware heeft ingebouwd. Nieuwe versie maandelijks laten checken en in de nacht ofzo laten updaten. Anders gaat het nooit lukken.

RL600 @RobbyTown • 8 december 2015 20:45

Over Synology heb je gelijk natuurlijk, maar Henk en Ingrid zijn vaak niet de doelgroep voor een NAS. Maar de functie is voor een gemiddelde tweaker ook handig , want ja (als ik even voor mijzelf spreek) we kunnen goed met pc's omgaan, maar dingen onthouden...

RobbyTown

@RL600 • 8 december 2015 21:19

Los van de nas. Een smart tv, smart phone het ontvangt allemaal updates... waarom een router niet...

Wim-Bart @RobbyTown • 9 december 2015 12:18

Auto update op een netwerk device zou een goede zijn, ware het niet dat het net op het verkeerde moment gebeurd.

Op een device waar je niet direct kan zien of hij update of met update bezig is kan het alleen maar problemen veroorzaken.

De gemiddelde gebruiker denkt. Modem werkt niet, reset, en dan is ie echt kapot....

RobbyTown

@Wim-Bart • 9 december 2015 14:36

Bij een router inbouwen kiezen wanneer auto er is. Zoals bij synology, laat om half 3 in de nacht updaten, dan slaap ik gewoon.

Wim-Bart @RobbyTown • 9 december 2015 16:36

Op zich geen probleem. Maar dat geldt niet voor iedereen. Als IT'er liggen dergelijke zaken voor de hand. Update van dit, update van dat. Wij houden er rekening mee. Maar als paps zit te chatten 's-nachts als mams ligt te slapen, of zoonlief is 's-nachts aan het gamen en dan opeens modem offline. Ja dan kan het fout gaan.

Mensen lezen namelijk geen handleidingen.

RL600 @RobbyTown • 8 december 2015 21:36

Dat was niet waar ik op reageerde, maar goed dat maakt niet uit.

Ik vind het zelf relatief logisch, waarom dit er nog niet is. Een router is vaak een veel belangrijker ding in je netwerk dan wordt gedacht. Het is het begin van jou eigen kleine netwerk (en het einde). Je wilt dit zo veilig mogelijk maken. Als jij ervoor kiest om een router zelf met een server ergens in (zeg Amerika) te laten communiceren is niet echt veilig. Er is dan namelijk een groep servers van een bedrijf die alle updates regelen van alle routers. Erg eng lijkt me....

Dat ISP's dat wel doen is denk ik ook een vrij simpele reden voor. Een ISP zit zeg maar tussen jou kleine router en het internet. Zij kunnen die update uitvoeren zonder daarbij het "internet" op te hoeven. Een gemiddelde linksys router moet dat helaas wel en is dus een groter risico.

Een gemiddelde netwerkbeheerder wordt er denk ik niet blij van als zijn router zelf met het internet verbinding maakt en even kijkt voor een update (hoewel dit wel handig is natuurlijk). Bijvoorbeeld een Cisco enterprise router heeft dit niet (ik ken niet alle routers van cisco, maar de gewone mainstream enterprise dingen) en zal dat waarschijnlijk ook nooit krijgen. Wat ze wel hebben is dat je ze bijvoorbeeld vanuit een centrale server in je netwerk up to date houdt. Daarbij kan er in de server van de updates gehackt worden (even kort door de bocht), maar kan er niet direct in een router worden gehackt.

Chaosstorm @RobbyTown • 8 december 2015 14:47

Dat is inderdaad wel wat zou moeten, tegenwoordig hebben telefoons die mogelijkheid wel maar een iets als een router wat zegmaar de digitale deur naar je huis is niet.

XenoniaN @RobbyTown • 8 december 2015 15:05

Als wekelijks/maandelijks mijn router reboot en ik mijn WAN IP kwijt ben ben ik ook niet blij.. Ik houd hem wel dichtgetimmerd. DD-WRT ftw.

Mezz0 @XenoniaN • 8 december 2015 15:16

waarom zou je je wan ip kwijt raken? de dhcp lease staat niet op 1 ms. Ik reset mn modem wel eens als mn wifi vastloopt en heb nog steeds hetzelfde ip. Alleen als Ziggo een aanpassing heeft gedaan kan mn ip veranderen

XenoniaN @Mezz0 • 8 december 2015 15:17

Het lijkt bij ons wel alsof na de leaseperiode je gelijk het WAN IP kwijtbent als je downgaat. Ik zit bij Caiway, FYI.

klakkie.57th @XenoniaN • 8 december 2015 15:21

Dat is toch geen probleem ?
Gewoon dyndns of iets dergelijks, mag je router zo vaak rebooten als ie wil

XenoniaN @klakkie.57th • 8 december 2015 15:24

Heb je een goede dynDNS voor de prijs van 0? Ik heb wel een standaard DNS-naam maar die heeft zover ik kan zien geen dynDNS-functionaliteit

Raafz0r @XenoniaN • 8 december 2015 15:32

http://dns.he.net kun je gebruiken om de dns van je domein te doen. Zij bieden ook gratis dyndns. Bovendien compatibel met ddns scripts op recente openwrt builds.

Diod @XenoniaN • 8 december 2015 15:44

Ik vind dtdns.com best goed werken. Het heeft niet bepaald de meest geweldige UI, maar ik heb van die UI geen gebruik meer moeten maken na de initiële setup.
Mijn router (zoals de meesten) heeft een ingebouwde client die support heeft voor dtdns.com. Ik maak voor de rest nog gebruik van CNAME records bij mijn andere domeinen om naar mijn dtdns.com domein te verwijzen.

XenoniaN @Diod • 8 december 2015 16:16

Koel, ik ga vanmiddag wel eens kijken.

klakkie.57th @XenoniaN • 8 december 2015 15:59

Je maakt je eigen domeinnaam aan met een cname die verwijst naar je dyndns name en je dyndns laat je automatisch updaten door je router of client op je server

andy88 @XenoniaN • 8 december 2015 17:39

http://www.noip.com/

Olaf van der Spek @PrivacyMind • 8 december 2015 14:29

Twee jaar? Maak daar maar vijf van!

Nog beter, koop gewoon een router waar OpenWRT op kan.

[Reactie gewijzigd door Olaf van der Spek op 23 juli 2024 09:32]

WCA

@Olaf van der Spek • 8 december 2015 16:53

Helaas kan de gemiddelde gebruiker daar niets mee.

Olaf van der Spek @WCA • 8 december 2015 17:20

Het is jammer dat er geen / weinig routers zijn die met OpenWRT geleverd worden.

Anoniem: 421001 @Olaf van der Spek • 8 december 2015 19:48

Correct maar RouterOS is een prima alternatief. MikroTik. Maar dat is dan weer echt een stap verder in complexiteit.
Heeft in de vorm van VPN service overigens ook een prima alternatief voor DynDNS.

Anoniem: 85345 @Anoniem: 421001 • 9 december 2015 11:16

RouterOS gebruik ik zelf ook... puur om de reden dat ik daarmee inderdaad zelf kan bepalen hoe mijn security eruit gaat zien.

Ik moet je eerlijk zeggen dat ik RouterOS juist simpeler vind dat *WRT, maar dat heeft er misschien mee te maken dat ik Mikrotik spul al vrij lang in gebruik heb.

R4gnax @Olaf van der Spek • 8 december 2015 21:10

Het is jammer dat er geen / weinig routers zijn die met OpenWRT geleverd worden.

Mja. Asus routers draaien nog steeds op een gemodificeerde Tomato en op een paar closed binary drivers voor bepaalde hardware componenten die door Asus in licentie zijn genomen, publiceren ze de nieuwe firmwares ook nog steeds als open source.

Ze nemen ook actief patches uit de community Merlin firmwares mee over. Dat doen ze eigenlijk erg goed.

catfish @PrivacyMind • 8 december 2015 15:16

2 jaar is toch wel héél kort
misschien een leuke periode voor smartphones, maar veel routers zijn +5 jaar
routers verouderen nu eenmaal minder snel

Ed Vertijsment 8 december 2015 14:20

"The Register geeft aan niet te verwachten dat veel patches uitgevoerd zullen worden, omdat het gaat om consumentenmodellen."

Mocht dat het geval zijn is dat wel iets om te onthouden bij aankoop van een router. Enig netwerk merk dat bij beveiligingsissues geen patches uitbrengt valt bij mij al af...

osluis @Ed Vertijsment • 8 december 2015 14:22

Er wordt verwacht dat de eindgebruiker de patch niet zal uitvoeren. De gemiddelde consument hangt hem in de meterkast en kijkt en 5 jaar niet naar om. In een bedrijfsomgeving gaat dat vaak toch iets anders.

[Reactie gewijzigd door osluis op 23 juli 2024 09:32]

mrdemc @osluis • 8 december 2015 14:28

Misschien een idee voor de fabrikanten om een automatisch update systeem uit te rollen zoals bij veel NAS'en mogelijk is.

bart.honhoff @mrdemc • 8 december 2015 14:40

Ik krijg tenminste een email van mijn Fritzbox zodra er een nieuwe firmware versie is.

Anoniem: 221563 @mrdemc • 8 december 2015 14:58

Zolang maar niet alles ook automatisch wordt bijgewerkt. Een knop tonen met "Er staat een aangeraden update voor u klaar" zie ik liever. Ik upgrade/update vaak bewust niet direct, gezien het vaak ook weer andere zaken kapot maakt.

Ed Vertijsment @osluis • 8 december 2015 14:26

Dat is geen excuus om onveilige apparatuur te slijten. Dan geef je dat ding maar bij default unattendend upgrades mee zodat de consument niets hoeft te doen.

Security is tegenwoordig belangrijker dan ooit. ISP worden steeds makkelijker in het afsluiten van klanten als hun lijn spamt/troept en dus heb je als routerfabrikant ook je verantwoordlijkheid.

Daarnaat zijn er genoeg bedrijven met consumentenrouters...

[Reactie gewijzigd door Ed Vertijsment op 23 juli 2024 09:32]

Seal64 @Ed Vertijsment • 8 december 2015 14:32

Als de fabrikant van de router een nieuwe firmware op de website zet, dan is dat toch voldoende? Kun jij als consument zelf beslissen of je die erop zet of niet.

Merk daarbij overigens ook op dat je van het gros van de internettende consumenten met een stand-alone router vandaag de dag al mag verwachten dat ze er meer verstand van hebben dan gemiddeld. De meeste mensen krijgen immers een gecombineerd modem/router van de ISP en die gaat inderdaad de meterkast in of ergens anders in een hoekje.
Die router wordt uiteindelijk ook door de ISP beheerd - daar mag je als consument wel settings in veranderen, maar firmware flashen kan er al niet op.

CAPSLOCK2000 @Seal64 • 8 december 2015 17:51

Als de fabrikant van de router een nieuwe firmware op de website zet, dan is dat toch voldoende? Kun jij als consument zelf beslissen of je die erop zet of niet.

Dat is de theorie. De praktijk is dat de meeste mensen dat nooit zullen doen omdat ze niet denken dat het nodig, omdat ze niet weten hoe het moet, omdat ze bang zijn dat het stuk gaat of omdat ze domweg niet op het idee komen.
Dat mensen €100 voor een router kunnen betalen zegt nog niet dat ze er ook verstandig mee om gaan, een hoop mensen kopen maar wat omdat een collega in de koffiekamer een mooi verhaal had.

Eigen verantwoordelijkheid is hier niet genoeg. Het gaat immers om meer dan je eigen veiligheid. Heel internet heeft last van gekraakte systemen. Daarom vind ik dat fabrikanten hier hun verantwoordelijkheid moeten nemen en zorgen dat systemen veilig blijven.

SED @osluis • 8 december 2015 14:29

Manieren waarop u de firmware van uw Linksys Smart Wi-Fi Router kunt opwaarderen:
Via de Check For updates (Controleren op updates (Actualisaties)) knop.
Automatische update (Actualisatie) inschakelen

Als men via Smart de zaak ingesteld heeft kan dat op afstand.

Blue_Airplane @Ed Vertijsment • 8 december 2015 14:31

Ik kan me natuurlijk vergissen maar zoals ik het lees verwachte The Register dat er maar weinig patches uitgevoerd gaan worden omdat het om consumenten elektronica gaat.
Ergo, er worden wel patches uitgebracht. Maar (veel) consumenten installeren ze gewoon niet. Waarschijnlijk omdat ze het gevaar niet zien, er niet vanaf weten dat er een patch voor hun device is etc... etc... etc...

AmirIHz @Blue_Airplane • 8 december 2015 15:14

Volgens mij heb je gelijk. Kwestie van interpretatie natuurlijk, maar het lijkt me dat inderdaad bedoeld wordt dat de doelgroep (consumenten) waarschijnlijk minder geneigd zal zijn om te patchen, ook al wordt er een patch uitgebracht.

Since it's a consumer product, it's a fair bet that most of the devices out there won't get patched

Olaf van der Spek @Ed Vertijsment • 8 december 2015 14:29

Enig netwerk merk dat bij beveiligingsissues geen patches uitbrengt valt bij mij al af...

Welke merken netwerk hardware heb je?

FreshMaker @Olaf van der Spek • 8 december 2015 15:39

Naast de consumerproducten kan je naar Mikrotik, Ubiquiti en Juniper kijken, maar ook zelf oplossen dmv open/PF-sense

Er is keuze genoeg, het kost alleen tijd en inzet ( en bij dat de meeste merken ook nét iets meer aan investeren )

EvilItSelf 8 december 2015 14:18

Vreemd dat een apparaat die op de meeste plekken 24 uur per dag aan het internet gekoppeld is zo ontzettend slecht beveiligd is.

Aaargh! @EvilItSelf • 8 december 2015 14:24

Dat is helemaal niet vreemd. Zo'n ding is bedoelt voor de consumentenmarkt en mag dus niets kosten. Als je een goed beveiligde router in de markt zet dan zal deze een stuk duurder zijn en dus voor geen meter verkopen, de gemiddelde consument snapt er toch niks van en de goedkope 'doet het toch ook'.

Dit is een v/d redenen dat ik nooit netwerk apparatuur koop die bedoelt is voor de consumentenmarkt. Professioneel spul is wel iets duurder maar alleen de hoeveelheid ergernis die het je bespaart is het al waard.

geerttttt @Aaargh! • 8 december 2015 14:27

Ergernis is ook relatief. Al zou je de meest gehackte router ooit kopen en aansluiten, dan denk ik dat je niks geen hinder zult ondervinden. Ten eerste staat de admin interface bijna altijd niet standaard open voor buitenaf.

Daarnaast -omdat je maar een consument bent- ben je in principe niet interessant voor hackers, alleen voor geautomatiseerde systemen wellicht, maar dat merk je vooral als je een windows of linux systeem slecht beveiligd direct aan het internet knoopt.

Aaargh! @geerttttt • 8 december 2015 14:35

Ten eerste staat de admin interface bijna altijd niet standaard open voor buitenaf.

En dat helpt je hoe precies ?

Daarnaast -omdat je maar een consument bent- ben je in principe niet interessant voor hackers,

Consumenten hebben geen bankrekeningen, credit cards, etc. ?

geerttttt @Aaargh! • 8 december 2015 17:09

Toegang tot je router krijgen en een encrypted banksessie mitm'en is totaal niet hetzelfde kaliber.

Aaargh! @geerttttt • 8 december 2015 19:02

Wie heeft het over MITM ? Genoeg mensen die hun hele C drive sharen op hun LAN. Heel makkelijk om dan ff een trojan .exe in een startup dir te zetten.

mrdemc @Aaargh! • 8 december 2015 14:27

De doelgroep mag mijns inzien geen verschil maken qua veiligheid. Dit zijn softwarematige aanpassingen die je overall kunt invoeren. De professionele routers hebben vaak als meerwaarde dat er extra functies als DPI, IDS, anti-virus/-malware/-etc. inzitten en wat meer mogelijkheden mbt integratie in overige systemen. Geef de consument een uitgeklede versie hiervan en het is prima.

Aaargh! @mrdemc • 8 december 2015 14:32

De doelgroep mag mijns inzien geen verschil maken qua veiligheid. Dit zijn softwarematige aanpassingen die je overall kunt invoeren.

Software engineers werken gratis ?

De doelgroep heeft er alles mee te maken, de beveiliging beter doen kost geld, en als je een goede router maakt maar die kost €200 en hij ligt op de plank naast eentje van €30 die het ook doet, dan koopt bijna iedere consument die van €30.

CAPSLOCK2000 @Aaargh! • 8 december 2015 18:02

De doelgroep heeft er alles mee te maken, de beveiliging beter doen kost geld, en als je een goede router maakt maar die kost €200 en hij ligt op de plank naast eentje van €30 die het ook doet, dan koopt bijna iedere consument die van €30.

Dat is de praktijk, maar in pincipe ben ik het met mrdemc eens, ook een goedkoop product moet veilig zijn.
De goedkoopste electrische apparaten van de Hema of de V&D hebben nog steeds een keuring moeten ondergaan voor ze verkocht mogen worden. Het gevaar op brand is te groot als je de allergoedkoopste troep toelaat.
Bij auto's verwachten we ook dat als je een auto koopt dat die auto geschikt is om mee de weg op de gaan en voldoet aan alle wettten en voorschriften. Zonder die regels waren auto's vast een stuk goedkoper maar ook veel minder veilig.

Ik vind dus dat er ook regels voor software moeten komen. Als consument moet je er van uit kunnen gaan dat producten die je in de winkel koopt aan zekere minimumeisen voldoen. De hardware van zo'n modem voldoet nu al aan een dozijn standaarden en regels. Voor software hebben we dat ook nodig..

Ok, dat is makkelijker gezegd dan gedaan, maar ik denk dat het nodig is.

Ik verwacht dat de reactie te krijgen dat de overheid niks van IT weet en zich niet met internet moet bemoeien. Daarop wil ik antwoorden dat dit probleem veel simpeler is dan de problemen waar we gewoonlijk mee te maken hebben op internet. Zo'n router is een fysieke object dat uit een Nederlandse winkel komt en ergens in Nederland staat en een Nederlandse eigenaar heeft. De gebruikelijke internationale chaos op internet is hier niet van toepassing.
Wettelijk gezien is het prima mogelijk dat de overheid zegt dat alle modems en routers voortaan gekeurd moeten worden door een of ander bureau voor ze verkocht mogen worden.

Amasik @Aaargh! • 8 december 2015 14:30

Het kost inderdaad wel wat meer die support.
Ik denk dat veel mensen hard gillend uit de winkel rennen als ze daar een accesspoint of router zien van 500 Euro, wat zakelijk gezien echt geen vreemd bedrag is.

Gelukkig is dit probleem makkelijk te ondervangen, dit soort consumenten spul hoor je helemaal niet vanaf het internet te beheren.

Aaargh! @Amasik • 8 december 2015 14:34

dit soort consumenten spul hoor je helemaal niet vanaf het internet te beheren.

Leg dat eens uit aan de helldesk van m'n ISP die gewoon zonder blikken of blozen vraagt of je de admin interface openzet voor de hele wereld met een user/pass die zo eenvoudig te raden is dat je er net zo goed geen password op kan zetten.

Ook al staat de boel van buiten dicht, een webpagina met een stukje JS en een XmlHttpRequest of (afhankelijk van hoe complex de hack is) een simpele img met een goed gekozen src adres kan al voldoende zijn.

[Reactie gewijzigd door Aaargh! op 23 juli 2024 09:32]

Amasik @Aaargh! • 10 december 2015 12:08

Heb je helemaal gelijk in.

Blijft een drama, software versies op consumenten electronica.
TV's, Smartphones, Routers, Draadloze printers. Wordt steeds meer goedkoop spul gemaakt. Kun je natuurlijk verwachten als je de vervangingssnelheid van sommige van deze producten bekijkt.

Dreamvoid 8 december 2015 16:50

Waarom heeft een router in vredesnaam support voor CGI scripting nodig?

DJFliX

@Dreamvoid • 9 december 2015 08:33

Omdat het de simpelste (qua complexiteit en dependencies) optie was waar ze nog programmeurs voor in huis hadden. Als je een script direct achter de webserver kunt hangen i.p.v. Iets wat door een runtime ofzo geïnterpreteerd moet worden als je zulke beperkte resources hebt (ram, cpu) dan lijkt me dat een no-brainer. Al zou ik zelf in die positie voor een NodeJS achtige oplossing gaan denk ik...

zvbhvb 8 december 2015 17:22

Hoe remote is een eventuele aanval als de bughunters zelf in de poc private ip adressen gebruiken als voorbeeld?

Brahiewahiewa @zvbhvb • 8 december 2015 18:46

Ze hebben voor de PoC de WAN interface een private IP-adres gegeven; dat maakt de aanval niet minder remote

bwt 8 december 2015 14:25

Die smart wifi router zijn echt een draak. Heb zelf een EA6300 die vervangen word door synology.
Als ze eenmaal werken dan is het nog wel OK. Maar je kan ze niet instellen zonder dat ze aan het internet hangen.....
Ben blij dat ie weg kan. Dit is een extra reden.

_ferry_ Moderator CM 8 december 2015 16:18

Ah, linksys en kwetsbaar, dat is niet de eerste keer:
http://www.flashrouters.c...upremely-hackable-router/

RichardvD 8 december 2015 14:22

Als het alleen te misbruiken is wanneer de beheerderstoegang op afstand aan staat dan zal de kans op misbruik gelukkig wel meevallen. Dit staat namelijk standaard uitgeschakeld.

Aaargh! @RichardvD • 8 december 2015 14:36

Nee hoor. Als dit via een CGI te doen is dan kan de 'hack' zo eenvoudig zijn als een <img src="http://192.168.1.1/gehacked_script.cgi?parameters=etc.">

.oisyn Moderator Devschuur® @Aaargh! • 8 december 2015 15:41

Enorm kort door de bocht. De CGI-scripts kunnen gebruikt worden om het wachtwoord te achterhalen. Een <img> gaat dus niet werken, want de aanvaller heeft het resultaat van die request nodig om achter het wachtwoord te kunnen, en daar kan hij niet bij door het resultaat als image in te laden op de computer van het slachtoffer (resulteert in een rood kruisje want het resultaat van die request is geen image). Ook een XMLHttpRequest middels Javascript zal niet werken, want die gaat naar een ander domein dan de webpagina.

[Reactie gewijzigd door .oisyn op 23 juli 2024 09:32]

Aaargh! @.oisyn • 8 december 2015 15:53

Wie zegt dat het wachtwoord achterhaald moet worden ?

Onder andere bootloader_info.cgi, sysinfo.cgi, ezwifi_cfg.cgi en qos_info.cgi kunnen gebruikt worden om de instellingen van de routers aan te passen.

Instelling aanpassen kan voldoende zijn om binnen te komen, b.v. poorten openzetten e.v.t. pas je het wachtwoord gewoon aan.

.oisyn Moderator Devschuur® @Aaargh! • 8 december 2015 15:57

Het artikel, in combinatie met wat logisch nadenken.

Hiermee kon bijvoorbeeld het beheerderswachtwoord achterhaald worden.

Waarom moet je dat wachtwoord nog achterhalen als je sowieso al alles kunt doen?

Aaargh! @.oisyn • 8 december 2015 16:35

Omdat mensen vaak 1 password gebruiken voor meerdere diensten ? Bovendien denk ik niet dat deze bug opzettelijk is dus 'het is niet nodig' lijkt me niet echt een zinvol argument.

Olaf van der Spek @RichardvD • 8 december 2015 14:28

Met op afstand bedoel je WAN?
Ben ik niet met je eens, als een van de apparaten op je (WiFi) netwerk besmet is loop je al risico.
Sterker nog, misschien is dit zelfs door een website (JS enzo) te misbruiken.

Anoniem: 304539 @RichardvD • 8 december 2015 14:25

Doe ik ook = veiliger en hou crackers en hackers weer een beetje tegen

himlims_ @Anoniem: 304539 • 8 december 2015 14:49

maar dat is remote-beheer; de legitieme route!

de crack/hack/scripts maken juist geen gebruik van de reguliere route, maar alternatieve; door bijv. de $user een script uit te laten voeren. heeft over het algemeen best weinig met remote access te doen.

het script biedt een functionaliteit die normaliter enkel via de remote access zou moeten; dus uitschaken gaat he-le-maal niets veranderen aan de situatie.

er zijn wel hack die misbruik maken van remote-management. Maar een beetje tweaker doet dat via vpn, toch? dan valt er extern weinig stuk te maken

[Reactie gewijzigd door himlims_ op 23 juli 2024 09:32]

Anoniem: 304539 @himlims_ • 23 december 2015 07:14

THANKS himlims_

SilentDecode 8 december 2015 14:30

Ik ben zoooo blij, dat ik een pfSense bak heb hangen waar normaal mijn Linksys router zat.

Anoniem: 16328 @SilentDecode • 8 december 2015 14:50

Is het niet goedkoper om DD-WRT te installeren? Ook dan ben je niet afhankelijk van de router fabrikant of en wanneer die eens met updates komt.

SilentDecode @Anoniem: 16328 • 8 december 2015 14:53

DD-WRT kan niet op de router die ik heb. Ik heb al naar de alternatieven gekeken, maar dan moet je dat ding op serieel aansluiten (en dan moet je gaan solderen). Er zit nog garantie op, dus ik ga er niet aan prutsen.

Ik had nog een oude, redelijk zuinige pc liggen, waar ik 2x 1Gbit NICs in heb geknald en toen er pfSense op heb gezet. Iets meer energieverbruik, maar nu is mijn throughput wel zoals het hoort te zijn. (ik haalde geen 50/50 met de Linksys router, nu met pfSense wel)

Anoniem: 303282 8 december 2015 14:33

Mijn linksys heeft auto update

het kan wel, kost net iets meer

bonzz.netninja @Anoniem: 303282 • 8 december 2015 15:52

Mijn linksys heeft ook autoupdate....alleen linksys brengt nooit updates uit

Ver.1.1.40 (build 160989)
Latest Date: 05/20/2014

Op dit item kan niet meer gereageerd worden.

Linksys-routers zijn kwetsbaar door meerdere cgi-scripts

Lees meer

Reacties (87)

Sorteer op:

Weergave: