Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 33 reacties

Onderzoekers van de Carnegie Mellon en Boston University hebben met een geautomatiseerd analysesysteem kwetsbaarheden ontdekt in routers van Netgear en D-Link. Het analysesysteem heet Firmadyne. De onderzoekers onderzochten bijna 9500 firmware-images.

In totaal gebruikten de onderzoekers zo'n 23.000 firmware-images, verzameld van 42 verschillende fabrikanten van apparaten met embedded firmware. Firmadyne kon uit 9486 images achterhalen dat 887 images kwetsbaar waren voor een van 74 bekende exploits. Daarnaast vonden de onderzoekers 14 voorheen onbekende exploits in 69 firmware-images die in gebruik waren bij 12 producten.

Het framework draait automatisch op Linux-gebaseerde firmware die is ontworpen voor embedded apparaten in een omgeving die geëmuleerd is. Vervolgens voert Firmadyne een aantal veiligheidstests uit, inclusief tests voor bekende exploits.

Enkele van de kwetsbaarheden werden gevonden in apparaten van Netgear en D-Link. De typenummers van deze apparaten hebben de auteurs van de paper apart bekendgemaakt op Seclist.org. De onderzoekers waarschuwden zowel Netgear als D-Link, maar kregen vooralsnog alleen van Netgear reactie. Netgear zal eind februari een firmware-update voor het WN604-draadloos toegangspunt doen uitkomen. De overige apparaten zullen niet voor midden maart een update krijgen.

Een deel van de apparaten van Netgear is gevoelig voor een sql-injectie CVE-2016-1555. De kwetsbaarheden doen zich vooral voor bij apparaten die zo geconfigureerd zijn dat ze via internet beheerd kunnen worden. De apparaten van Netgear die gevoelig zijn, dragen de typenummers WN604, WN802Tv2, WNAP210, WNAP320, WNDAP350 en WNDAP360. Met uitzondering van de WN802Tv2 bezitten deze apparaten en de WNDAP930 ook webpagina's die toegankelijk zijn zonder authenticatie, waardoor de pin voor de wps-mode zichtbaar kan worden.

De apparaten van D-Link die kwetsbaar zijn, zijn de D-Link DAP-2310, DAP-2330, DAP-2360, DAP-2553, DAP-2660, DAP-2690 en DAP-2695. Deze apparaten hebben last van een buffer overflow-kwetsbaarheid als de dlink_uid-cookie verwerkt wordt. Drie andere D-Link-apparaten en drie van Netgear tonen draadloze wachtwoorden via het snmp-protocol. Het gaat hier om de DAP-1353, DAP-2553, DAP-3520, WNAP320, WNDAP350 en WNDAP360.

Firmadyne is als opensourceproject verschenen op GitHub, naast een onderzoekspaper getiteld "Towards Automated Dynamic Analysis for Linux-based Embedded Firmware". Van de 887 firmwares waren de meesten afkomstig van Netgear en D-Link. Enkele andere merken waar door Firmadyne gevonden exploits in voorkomen, zijn van Belkin, Huawei, Linksys, On Networks, Tomato by Shibby, TP-Link, TRENDnet en ZyXEL. Voor de volledige lijst, zie pagina 16 in de paper.

Moderatie-faq Wijzig weergave

Reacties (33)

En dat terwijl in Amerika de FCC druk bezig is om firmware van een lockdown te voorzien zodat enkel nog firmware van de fabrikant zelf ge´nstalleerd kan worden. En diezelfde fabrikanten hun producten vaak maar voor een korte termijn ondersteunen en soms lang op zich laten wachten.
Terwijl alternatieve firmware (OpenWRT, LibreCMC, e.a.), vaak onderhouden door vrijwilligers, dit soort problemen vaak niet eens heeft en als er een vulnerability in zit meestal vlot op de proppen komt met een fix.

Zucht...
Da's het mooie van een global market, koop je gewoon chinees spul.
En anders bouw je je eigen router.
Netgear zal eind februari een firmwareupdate voor het WN604-draadloos toegangspunt doen uitkomen.
Dan zullen ze heel snel moeten zijn... vandaag is de laatste dag van februari.

[Reactie gewijzigd door P1nGu1n op 29 februari 2016 19:35]

Dat is goed mogelijk hoor. Waarschijnlijk waren ze op de hoogte voor het publiekelijk bekend maken van de lekken. Dat gebeurd wel vaker zo en meestal word dat "Responsible Disclosure" genoemd.
Hadden ze ooknog een dag extra :D
Netgear komt wel vaker heel snel met aangepaste firmware.
Zelf bij aankoop van een aantal WNDAP360's wat problemen met Apple devices welke talloze disconnects hadden, had in vier dagen na aankoop een aangepaste firmware van Netgear die probleem verhielp dus wat dat betreft prima service.
Leuk om te zien dat OpenWrt buiten de boot valt - positief gezien dan ;) - ook al doet TP-Link het ook niet slecht met 'slechts' 3* exploits terwijl de web interface toch relatief uitgebreid is. Het is net omdat ik weet dat OpenWrt actief ontwikkeld wordt dat ik toch OpenWrt heb geflasht op m'n TP-Link 1043ND.

Wat ik me trouwens ook nog afvraag is hoe je eigenlijk 'n OpenWrt-installatie update zonder 'n hele (nieuwe) build te moeten flashen. Op bijvoorbeeld Ubuntu zou je iets Ó la apt-get upgrade && apt-get update doen, maar aptitude wordt natuurlijk niet gebruikt in OpenWrt. Iemand die hier even z'n licht op kan laten schijnen? :)

* Als ik de tabel toch zo moet lezen, natuurlijk.
Er zijn ook update(upgrade)builds die je kan gebruiken als er eenmaal OpenWRT opstaat, in dat geval worden (de meeste van) je settings ook bewaard, zoals aangepast LAN IP, wel/geen DHCP, ...

Op die manier heb ik de mijne (o.a. ook een 1043ND) een upgrade gegeven van Barrier Breaker naar Chaos Calmer (dus toch een major upgrade, en niet zomaar een build binnen dezelfde release)

[Reactie gewijzigd door tc-t op 1 maart 2016 11:35]

Oh OK, dus toch enkel op die manier. Bedankt! ;) Qua 'zekerheid' kan ik nog altijd 'n back-up nemen van m'n settings moest er iets misgaan, dus op zich geen probleem, maar een commando runnen is nog eenvoudiger en sneller natuurlijk.

Sinds dat gevalletje met die hele OpenSSL-heisa enzovoort, vond ik het wel interessant om wat bij te blijven qua updates voor devices waar je niet zo meteen aan denkt :)
Je kan op OpenWRT je packages upgraden met behulp van opkg. Je moet wel een shell hebben op je router, maar als je OpenWRT gebruikt, kan je vast met SSH werken:
# opkg update
# opkg list-upgradable
# opkg upgrade [package] [...]
opkg update doet hetzelfde als apt-get update, maar een equivalent voor apt-get upgrade is er denk ik niet. opkg list-upgradable geeft je een lijst van pakketten waarvoor een nieuw versie beschikbaar is, die je dan kan oplijsten bij opkg upgrade [list of packages].
Erg handig, thanks! SSH is inderdaad geen probleem met het standaard ge´nstalleerde dropbear :)
Interessant en handig om zelf wat firmwares te kunnen testen.
In ieder geval, ziet er goed uit wat de universiteiten geproduceerd hebben, hopelijk stimuleert dit het update-beleid van fabrikanten. Routers moeten wel gewoon updates krijgen, en zo niet dan moet de gebruiker hier van ingelicht worden!
Op zich niet verkeerd maar routers moeten per definitie geen verbindingen van de WAN-kant accepteren middels een firewall, dat scheelt al enorm in de kwetsbaarheid. En gelukkig doen de meeste routers dat by default ook niet.
"Geautomatiseerde analyse ontdekt kwetsbaarheden in routerfirmware"

Volgens mij zijn bijna alle genoemde apparaten access points, welke normaal gesproken niet als router worden ingezet. Beetje rare titel?
Klopt inderdaad, het leeuwendeel zijn gewoon APtjes... Neemt niet weg dat het ook niet fijn is als die lek zijn maar het is toch iets anders dan een router dus daar mag het artikel best enigsinds op aangepast worden lijkt mij.
Interessant dat het om een gespecialiseerde firmwarescanner gaat. Maar het automatisch testen is natuurlijk niet nieuw, daar hadden o.a. Nessus en OpenVAS ook al wel opties voor. Als het meer om pure statische analyse ging was het extra interessant geweest gezien het dan om een nieuw soort FOSS vulnscanner zou gaan.

Nu maar hopen dat fabrikanten eindelijk doorhebben dat de OEM SDK meestal crap is, en gesloten modules weinig goeds doen tijdens de levenscyclus van een apparaat. Stel dat bijv. de hardware assisted NAT modules open source waren, dan hadden ze OpenWRT als basis kunnen nemen met hun eigen theme packages. Dan zit je met software die gewoon wel goed onderhouden wordt, terwijl ze nog steeds hun hardware met hun onzinmarketing kunnen blijven aanprijzen.
Wie wil er Uberhaupt Netgear, D-Link en ander B-merken zoals Sitecom en Sweex etc. in zijn netwerk? :')
Welke merken raad je dan aan voor thuis netwerken? Daar wordt volop NetGear/DLink/TPLink/Asus gebruikt.

Dus TPLink en Asus?
Zyxel, Draytek, Ubiquiti, Microtek etc.- daarna pas TPLink en Asus en als je echt cheap wilt gaan, de regelrechte crap van Netgear, Sweex, D-Link en Sitecom etc.

Ik heb 1x de vergissing begaan door een managed switch van Netgear in huis te halen- ik heb er nog grijze haren van...never again! Nu spint er gewoon een Zyxel GS1920-24 en it works like a charm. :)

Maar goed, ik denk dat het thuisnetwerk van een IT'er er ook anders uitziet dan van tante Sjaan...die doet het gewoon met de plastic rommel vd provider of de MyCom. :')
Netgear is absoluut geen B-merk. Bladen als computertotaal en organisaties als de consumenten bond hebben vaak spul van ze getest en dat was vaak het betere spul in de tests.
Dat maakt het nog geen A-merk. :o
Ik ben in een serieus datacenter nog nooit Netgear tegengekomen, voornamelijk (groene) Cisco maar ook Zyxel e.a.
Ik ben in een datacenter ook nog nooit acces points tegen gekomen... 8)7.

We hebben het hier over consumer grade. Niet enterprise. In dat opzicht is het dus wel degelijk een A-merk
Ben ik niet met je eens; een device werkt gewoon goed, of bagger- ik heb met Netgear (ik was ook fan van de metalen behuizing, lekker profi dacht ik) meer troep meegemaakt dan wat dan ook...thuis. Laat je niet verleiden door de behuizing, de uitstraling etc. dat maakt het geen A-merk. De interface, snelheid, veiligheid, redundancy, MBTF etc. die maken het een A-merk. En dat is Netgear overduidelijk niet, al pretenderen zij het wel te zijn. En schijnbaar trap jij erin, maar je mag wat mij betreft, alleen ik gun je beter spul.

Draytek kom ik enterprise, maar ook @home tegen- werkt goed, goede support, degelijk spul, fool-proof etc. Duidelijk een A-merk en daar betaal je dan ook vaak iets meer voor. Heeft niks met louter onderscheid te maken, tussen enterprise of @home.

Edit: daarnaast, zou ik met enige scepsis naar 'de bladen' kijken, ik lees genoeg aanbevolen crap, waarvan ik denk: OMFG. :')
Lees dan liever C't, dan heb je nog een blad op enig niveau, de rest is aanmaak voor de openhaard imo.

[Reactie gewijzigd door johncheese002 op 2 maart 2016 17:10]

Worden Cisco, Huawei en Juniper ook gesupport ? :)
Cisco is bijvoorbeeld al niet gebaseerd op Linux (Cisco IOS), dus nee.
Huawei stond in het artikel
Juniper is ook geen linux (Junos) dus nee...
niet elke Cisco draait cisco ios..

de cisco's die onderhuids linksys zijn zo als de kabelmodems
de Cisco set top boxen (bevatten ook een kabelmodems voor de interactieve tv)
de cisco meraki apparatuur

en nog een aantal andere producten.

allemaal busybox/linux based

[Reactie gewijzigd door fvdberg op 1 maart 2016 08:27]

want netgear en d-link staan ook echt bekend als de meest veilige routers die er zijn :+
Niet per se, maar netgear staat wel bekend als een leverancier van stabiele high-end apparatuur voor consumenten. De switches en routers zijn over het algemeen goed en stabiel. Er zit een prijskaartje aan ja, maar dat mag ook wel.
bij de niet kenner wel inderdaad,
bij de kenner stond linksys hier om bekend

Linksys is Belkin tegenwoordig

zie nieuws: Belkin neemt Linksys over van Cisco

Het Linksys alternatief is TP-Link
Er zijn meerdere tests geweest van gerenommeerde bladen die vaak een netgear switch of router in de top 3 hadden staan. Dus om nou te spreken van niet kenners, vind ik een beetje ver gaan.
Netgear, TP-Link en Asus zijn de 3 meest verkochte merken al enige jaren op rij

sinds 2011 is Linksys al bijna nergens meer in de top 3 te vinden.

Dus wat mij betreft gaat het helemaal niet ver.

Ja, Inderdaad, de kenners die vroeger zonder twijfel voor Linksys kozen kiezen nu voor TP-link of Netgear.

2 merken die al weer enige jaren bewezen hebben goed stabiele apparatuur voor een goede prijs te kunnen leveren, iets wat we van Belkin niet kunnen zeggen
Dat is toch precies wat ik aangeef? Netgear is helemaal geen slechte speler in deze markt zoals aadje93 beweert. Dit was niet alleen vanaf 2011, maar ook al daar voor. Netgear en linksys waren daarvoor ook al nauwelijks concurrenten daar linksys vooral op het ietwat goedkopere segment. Geen budget spul, maar degelijke mainstream apparatuur. Netgear was vaak een stuk duurder, maar bood daarentegen weer extra's die de normale consument niet nodig had (8x gbit poorten ofzo). Maar netgear veel als beste uit de test kwam was Linksys vaak weer de beste koop in prijs/kwaliteit verhouding.
Ik zie niks staan van Draytek, die gebruiken wij veel voor het MKB (vigor 2860/2925/3900 series)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Microsoft Xbox One S FIFA 17 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True