Ernstig lek in Netgear-routers laat aanvaller root-code uitvoeren - update

Het Amerikaanse Cert van de Carnegie Mellon-universiteit waarschuwt dat R7000- en R6400-routers van Netgear een ernstig beveiligingslek bevatten. Hierdoor kan een aanvaller op afstand willekeurige code als root uitvoeren.

Volgens de organisatie is er inmiddels een exploit voor de kwetsbaarheid beschikbaar, waardoor gebruikers risico lopen. Het advies is dan ook om de routers niet te gebruiken tot er een patch beschikbaar is. Vooralsnog lijkt deze niet door Netgear uitgebracht te zijn. ZDNet schrijft dat een woordvoerder van het bedrijf nog niet op vragen heeft gereageerd. Het Amerikaanse Cert meldt verder dat het lek te misbruiken is door een slachtoffer een kwaadaardige site te laten bezoeken. Een aanval is ook via het lokale netwerk mogelijk.

Bij de kwetsbaarheid gaat het om de mogelijkheid voor command injection, die aanwezig is in versie 1.0.7.2_1.1.93 van de firmware van het R7000-model. Bij de firmware van het R6400-model gaat het om versie 1.0.1.6_1.0.4. Het is mogelijk ook aanwezig in eerdere versies, aldus het Cert. Daarnaast is het niet uit te sluiten dat andere routermodellen eveneens kwetsbaar zijn.

Kwetsbaarheden in routers zorgden er onlangs voor dat een miljoen Duitsers zonder internet kwamen te zitten. De uitval van de routers werd later aan de Mirai-malware toegeschreven, die ervoor zorgde dat de apparaten niet meer functioneerden maar ze niet infecteerde.

Update, 12-12: In afwezigheid van een patch is er een tijdelijke work-around beschikbaar. Deze schakelt de webserver uit tot de router wordt herstart. Netgear heeft in een security advisory melding gemaakt van het lek, maar meldt nog niets over een patch.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 09-12-2016 20:52144

09-12-2016 • 20:52

144 Linkedin

Lees meer

Netgear Nighthawk AC1900 Smart WiFi Router (R7000)

vanaf € 332,20

Score: 4

Alles over dit product

Netgear R6400

vanaf € 224,40

Score: 4

Alles over dit product

Hackers krijgen toegang tot router van Nederlandse brandweerwagen Nieuws van 8 augustus 2017
Netgear wijzigt dataverzamelingsbeleid van Nighthawk R7000-router - update Nieuws van 22 mei 2017
Mogelijk miljoenen Netgear-routers bevatten kwetsbaarheid - update Nieuws van 31 januari 2017
FTC dient klacht tegen D-Link in om onveilige ip-camera's en routers Nieuws van 6 januari 2017
Beveiligingsgaten 11 kwetsbare Netgear-routers gedicht met definitieve updates Nieuws van 26 december 2016
Netgear werkt aan patch voor recent ontdekt lek in WNR2000-router Nieuws van 23 december 2016
Netgear brengt definitieve patch uit voor drie kwetsbare routers Nieuws van 18 december 2016
Netgear komt met voorlopige patch voor drie kwetsbare routers Nieuws van 13 december 2016
Tweaker publiceert tijdelijke oplossing voor kwetsbaarheid in Netgear-routers Nieuws van 12 december 2016
Duitse overheid wijt Telekom-problemen aan wereldwijde aanval op dsl-routers Nieuws van 28 november 2016
Lek in Cisco-software treft 17.000 Nederlandse routers Nieuws van 21 september 2016
Hacker Nohl toont afluisteren gesprekken via lek in telecominfrastructuur Nieuws van 18 april 2016
Geautomatiseerde analyse ontdekt kwetsbaarheden in routerfirmware Nieuws van 29 februari 2016
Lek gaf toegang tot routers van miljoenen Duitsers Nieuws van 23 december 2015
Linksys-routers zijn kwetsbaar door meerdere cgi-scripts Nieuws van 8 december 2015
Belkin-router blijkt ernstige kwetsbaarheden te bevatten Nieuws van 4 september 2015
Meer producten en artikelen
Modems en routers Netwerk en systeembeheer Netgear Security

Reacties (144)

-Moderatie-faq
144
143
71
15
2
45
Wijzig sortering
CyberJohn
9 december 2016 22:49
Mijn Netgear X6 R8000 is hier ook vatbaar voor, dus niet alleen de R7000 en de R6400:
https://gyazo.com/d54de997b8e8362d8d59c4a07046c8ec (commando top)

https://gyazo.com/3548d3d1c6dbb56e02dc4c96e400afbc (router & laatst beschikbare firmware)

[Reactie gewijzigd door CyberJohn op 10 december 2016 02:16]

MiesvanderLippe
@CyberJohn10 december 2016 11:09
Wat een verschrikkelijk amateuristisch lek... Dit leer je bij de meeste studies bij wijze van spreken nog voordat je te horen krijgt wat user input uberhaubt is.
ArtGod
@MiesvanderLippe10 december 2016 13:59
Mee eens. De ontwikkelaars die de firmware maken zijn vaak sukkels, want het zijn echt BASALE fouten.
luukw
@CyberJohn10 december 2016 12:31
Blijkbaar zit het echt in de nieuwe firmware van een aantal modellen want mijn Netgear R6300v2 op firmware V1.0.4.6_10.0.76 wil eerst dat ik mijn inloggegevens invul. En daarna komt de router met: 404 Not Found The resource you have requested is not available of Access to this web page is currently unavailable.

[Reactie gewijzigd door luukw op 10 december 2016 12:32]

reablom
@luukw10 december 2016 22:15
Nope, op mijn R7000 met zeker niet de nieuwste firmware werkt het ook gewoon.
luukw
@reablom11 december 2016 17:24
Welke firmwareversie dan?
Laat ik het anders stellen dan ;) :
De firmware op een aantal moderne apparaten uit de laatste generatie(s) is blijkbaar kwetsbaar voor dit lek maak ik op uit mijn eigen bevindingen.
Hopelijk komt een patch snel voor diegene die kwetsbaar zijn, want je kunt zo via een advertentie, een plaatje van een YouTube-speler op een website die uiteraard niet naar YouTube leidt, etc. die je naar http://standaardrouterwebsite/cgi-bin/;commando leiden en zo de code kunnen laten uitvoeren. (Waarbij commando natuurlijk het gewilde commando is die de aanvallers willen uitvoeren ;) )

[Reactie gewijzigd door luukw op 11 december 2016 17:24]

reablom
@luukw13 december 2016 19:10
1.04 nog iets.
Als ik http://"ip"/cgi-bin/;top intyp krijg ik een overzicht met processen.

[Reactie gewijzigd door reablom op 13 december 2016 19:12]

Anoniem: 112442
@CyberJohn10 december 2016 14:33
Mijn Netgear X6 R8000 is hier ook vatbaar voor, dus niet alleen de R7000 en de R6400:
https://gyazo.com/d54de997b8e8362d8d59c4a07046c8ec (commando top)

https://gyazo.com/3548d3d1c6dbb56e02dc4c96e400afbc (router & laatst beschikbare firmware)
De voorganger had ook al problemen.
Netgear Routers Plagued by Serious Vulnerabilities

[Reactie gewijzigd door Anoniem: 112442 op 10 december 2016 14:34]

luukw
@Anoniem: 11244211 december 2016 17:28
Ik heb laatst toevallig wel een update gekregen voor mijn R6300v2 en die heeft nergens last van met ingeschakelde webinterface.
Archie_T
10 december 2016 18:58
Ik heb ook zo'n router, dus even gezocht. Dit klinkt als een goede oplossing:
http://www.sj-vs.net/a-te...-r7000-and-r6400-routers/
Hiermee kill je de webinterface en dus kan niemand meer CGI-BIN misbruiken.
Omer
@Archie_T11 december 2016 00:40
Dank. Werkt deze fix óók als je de R7000 als Access Point gebruikt? (Ik las verder naar beneden in dit topic namelijk dat je ook dán kwetsbaar bent). Ben zelf een leek op dit gebied.

Die url http://<ip-adres access point>/cgi-bin/;uname$IFS-a geeft bij mij overigens inderdaad een pagina met allerlei code, en helemaal onderaan de tekst 'Linux R7000 2.6.36.4brcmarm+ (...)', zoals ook in de link wordt genoemd. Dus mijn R7000 is blijkbaar óók vulnerable.

Als ik naar de url http://<ip-adres access point>/cgi-bin/;killall$IFS'httpd' navigeer, dan kan ik vervolgens inderdaad niet meer de webbrowser van de R7000 benaderen ("This site can't be reached"). Na een reboot van t access point weer wél. Dus wat dat betreft komt t allemaal overeen met hetgeen op die link wordt beschreven.

Ik heb die laatste url zojuist nogmaals ingevoerd, en ik laat t voorlopig dan maar zo, voor de zekerheid. Baat t niet dan schaadt t niet lijkt me.

[Reactie gewijzigd door Omer op 11 december 2016 02:01]

Loopx
@Omer11 december 2016 08:41
Deze fix werkt inderdaad ook als de router in AP mode staat, net zelf ook hier uitgevoerd en beide routers waren inderdaad kwetsbaar (eentje in AP mode) en op beide kon je op dezelfde manier het webserver process killen.

Goed, ja kan niet meer bij de web interface om configuratie aan te passen maar hoe vaak doe je dat, en zoals je aangeeft herstarten van de router zal het process weer starten en je weer toegang geven tot dewebinterface (en vulnerability!).

Nu maar hopen dat er redelijk vlot een officiele fix komt :)
Omer
@Loopx11 december 2016 10:56
Dank. En inderdaad: Ik kom bijna nooit in die web interface.
Mickpunt
@Archie_T11 december 2016 10:39
Hey Archie_T, prima tijdelijke oplossing, dank voor de link! In minder dan een minuut uit te voeren. Hoop dat NetGear snel met een "echte" fix komt.
Retron
@Archie_T10 december 2016 19:47
Ik krijg deze melding als ik de tweede stap probeer uit te voeren. Weet iemand wat ik verkeerd doe ?
'telnet' is not recognized as an internal or external command,
operable program or batch file.
MrMarcie
@Retron10 december 2016 19:50
Had ik ook, makkelijk op te lossen: CONTROL PANEL > PROGRAMS > TURN WINDOWS FEATURS ON OFF >> en daar klik je telnet aan. Ff wachten en dan werkt het.
Retron
@MrMarcie10 december 2016 21:33
Thanks ! Is gelukt !
Archie_T
@Retron10 december 2016 19:49
Je moet telnetd en niet telnet doen. (Daemon laden)
<edit> sorry, je bedoelt de client. Ja dan even Putty gebruiken of inderdaad telnet inschakelen op Windows.

[Reactie gewijzigd door Archie_T op 10 december 2016 19:50]

MrMarcie
@Archie_T10 december 2016 19:33
Gedaan. Dank.

p.s. Moest wel ff telnet inschakelen in Windows 10

[Reactie gewijzigd door MrMarcie op 10 december 2016 19:45]

luukw
@Archie_T11 december 2016 17:39
Dus je stopt de lokale (web)server. Is misschien een goede tijdelijke oplossing, maar als je ReadyShare gebruikt om een SSD/HDD aan je router te hangen via USB is dit onhandig.
Verder moet dit lek gewoon snel opgelost worden door de permissies tot de cgi-bin map bij te stellen/dicht te gooien, dat ze dat niet zelf bij het maken van de firmware hadden kunnen bedenken om zomaar van een onderdeel dat systeem toegang heeft zo open te stellen 8)7 .
Als ik bij mijn R6300v2 de commando's invoer moet ik eerst inloggen met mijn admin account om vervolgens 404 Not Found te krijgen dus daar zitten de permissies blijkbaar wel goed :) .
Dan kunnen ze daarna op hun "gemak" een betere fix maken en daarin de permissies allemaal 100% goed afstellen, maar eerst eens op slot gooien zodat dit niet langer misbruikt kan worden en dan naar alle routemodellen pushen.
Archie_T
@luukw11 december 2016 19:30
Helemaal mee eens. Alleen is dit wel even een betere oplossing dan het advies (de router niet meer gebruiken). Je hebt in ieder geval nog core functionaliteit.
Pikkemans
9 december 2016 21:03
Net even een check gedaan op mijn R7000 hier en als je in het LAN zit kun je inderdaad commands uitvoeren op een relatief makkelijke manier

http://<router_IP>/cgi-bin/;COMMAND

Voor buitenaf staat dit standaard dicht. Het is een klein beetje overdreven om als advies mee te geven om je router helemaal niet meer te gebruiken, veel mensen hebben niet een hot-spare liggen.

Totdat er een update uit is gewoon oppassen met eventuele spam mailtjes met een dergelijke links die lijken op het bovenstaande.

edit: typo

edit2: misschien is het wijzigen van je router LAN IP een redelijke workaround tot de patch. Alleen als je het default IP nog gebruikt (zoals ik net nog deed).

[Reactie gewijzigd door Pikkemans op 9 december 2016 21:43]

hcQd
@Pikkemans9 december 2016 21:09
Iemand kan op een website een "plaatje" neerzetten dat naar een dergelijke URL verwijst, daarmee kun je ook van buitenaf inbreken. Dat werkt natuurlijk alleen als de LAN IP-range niet gewijzigd is, maar dat doen niet zoveel gebruikers.
Caelyn
@hcQd9 december 2016 21:16
Nadeeltje van de netgear routers (zelf ook een R7000 bezitter) is dat standaard bij alle routers, ongeacht de iprange in het LAN, er een domain adres (http://www.example.com) is dat naar de homepage van het router verwijst. Handig voor de leek, niet handig voor deze URL's... (voor het gemak noem ik hem hier maar even niet ;) )
hcQd
@Caelyn9 december 2016 21:19
Asus doet dat ook. Eventueel op te lossen door /etc/hosts (op de router) aan te passen.
William_H
@hcQd9 december 2016 23:55
Dan moet je wel bij /etc/hosts kunnen. Veelal zijn die routers helemaal dichtgetimmerd om dat soort wijzigingen te kunnen aanbrengen. Dat dan weer wel.
mkools24
@William_H10 december 2016 00:26
Lol lees dit nieuwsbericht, root access ;) Lijkt me voldoende om /etc/hosts te mogen aanpassen.
Caelyn
@hcQd9 december 2016 21:22
Dat weet jij, dat weet ik, maar de meeste gebruikers van die routers gaat dat denk ik te ver... en dat maakt het nou juist zo tricky imho... ;)
macnerd
@hcQd10 december 2016 02:23
Lokaal op je computer(s) de hosts-file aanpassen zal ook werken, aangezien die als eerste wordt geraadpleegd. Je moet echter wel alle computers aanpassen die met je router verbinden, anders kan de router alsnog gehacked worden.
Borromini
@Caelyn9 december 2016 21:20
Dat hebben meerdere fabrikanten btw, ook bv. TP-Link denk ik.
sypie
@Borromini9 december 2016 21:47
Jep, TP-Link ook. Je tikt in je browser een URL in die lijkt op een normale URL voor een website. Ondertussen kom je op je eigen router uit. Eerste keer dat ik dit had vond ik het merkwaardig, was ik niet gewend om zo te doen.
dezwarteziel
@sypie10 december 2016 00:48
Daarvoor heb je gewoon een extern ip adres nodig en remote access enabled
NewNick
@Caelyn10 december 2016 13:02
Klopt, bij de R7000 redirect http://routerlogin.net naar het ip van de router, ongeacht of die gewijzigd is. Het beste kun je alle apparaten met het gast netwerk laten verbinden omdat je via het gast netwerk niet bij de router kunt. Dit kun je het beste doen door de SSID van het niet-gastnetwerk te wijzigen naar iets willekeurigs en de SSID en het wachtwoord van het niet-gastnetwerk daarna in te vullen bij het gastnetwerk zodat alle apparaten automatisch verbinden met het gastnetwerk. Apparaten die met een internetkabel zijn verbonden kunnen dan wel nog bij de router.
dezwarteziel
@Caelyn10 december 2016 00:43
Dan zal je eerst op het interne netwerk moeten komen. Daarna kun je via de standaard url naar de router. De meeste routers hebben dit. Daar kom je niet zo maar van buiten af bij.

[Reactie gewijzigd door dezwarteziel op 10 december 2016 00:51]

Caelyn
@dezwarteziel10 december 2016 01:01
Dat is het hele punt juist, dat hoeft niet. Gewoon een linkje in een mail, plaatje of ad op een site... De gene die achter zo'n unit zit die er op klikt doet het werk voor je...
Ossebol
@Caelyn10 december 2016 11:10
Zoiets als http://routerip/;telnetd$IFS-p$IFS'45' zou al genoeg zijn om telnet te starten. Bron: https://twitter.com/r00tx55/status/807492677516173313
Caelyn
@Ossebol10 december 2016 13:29
Klopt inderdaad. Ik heb al even zitten spelen, en http://www.routerlogin.net/cgi-bin/;top bijvoorbeeld, geeft heel netjes het top overzicht van de router, ongeacht welk IP het router heeft...
Anoniem: 851735
@Caelyn10 december 2016 13:01
Ik heb nu de firmwareversie 1.0.3.56_1.1.25 bij de r7000. Geldt dit lek dan ook?
wica
@hcQd10 december 2016 08:54
Default IP range is niet altijd nodig.
Sommige linux systemen met systemd, resolven de hostname gateway, naar het gateway adres van het LAN, wat in dit geval meestal de Netgear-router is.
The hostname "gateway" is resolved to all current default routing gateway addresses, ordered by their metric. This assigns a stable hostname to the current gateway, useful for referencing it independently of the current network configuration state.
https://www.freedesktop.o...emd-resolved.service.html

Waardoor dit zou werken.
http://gateway/cgi-bin/;COMMAND
[Yellow]
@Pikkemans10 december 2016 10:29
Ik heb zelf een ouder model Netgear. Als ik het probeer krijg ik de login prompt. Betekent dat deze aanval te voorkomen is door een setup wachtwoord in te stellen? Of is dat alleen bij mijn model Netgear zo?

Overigens lijkt de exploit wel heel erg veel op shellshock https://en.wikipedia.org/wiki/Shellshock_%28software_bug%29

[Reactie gewijzigd door [Yellow] op 10 december 2016 10:34]

Pikkemans
@[Yellow]10 december 2016 11:24
Er zijn maar twee modellen waarbij de exploit werkt. Die cgi-bin url is op deze modellen beschikbaar zonder login prompt.
aawe mwan
@Pikkemans9 december 2016 21:16
Werkt deze URL ook als de src van een iframe van 1 bij 1 pixel?
tedades
@aawe mwan10 december 2016 20:17
Het lijkt mij dat het niet uitmaakt hoe je browser de url aanroept, dat zou via een link/i-frame/javascript/html-redirect/flash kunnen gebeuren. Je kan het ook via een app doen op een telefoon, eigenlijk ieder apparaat dat verbonden is op dit type router zou dit kunnen doen.

Kun je het niet tijdelijk zo op lossen (kan het zelf niet proberen)?
http://routerlogin.net/cgi-bin/;killall$IFShttpd
tedades
@tedades12 december 2016 21:02
De magische combinatie lijkt uiteindelijk:
http://www.routerlogin.ne...i-bin/;killall$IFS'httpd'

Meer te lezen hier:
nieuws: Tweaker publiceert tijdelijke oplossing voor kwetsbaarheid in Netgear...
macnerd
@aawe mwan10 december 2016 02:32
Een iframe is een stukje html dat door je browser weergegeven wordt als een pagina in je pagina. Maar los van hoe het weergegeven wordt (als het al weergegeven wordt, het kan net zo goed via JavaScript), het is simpelweg een url die opgevraagd zal worden.

Een url is voor een browser compleet nietszeggend. Het is prima mogelijk om een webserver zo te configureren dat webpagina's eindigen op .jpg en dat afbeeldingen via een PHP-pagina komen die eigenlijk door ASP.NET wordt aangeleverd. Ook als je een url van een webpagina gebruikt bij een img tag, dan zal die url gewoon opgevraagd worden. Vervolgens komt de browser erachter dat de url geen afbeelding is en dat ie er dus niks mee kan.
DarkShaDows
10 december 2016 16:44
Naar aanleiding van opmerkingen in dit forum, en de mega langzame standaard Netgear firmware van mijn R7000 heb ik deze geflashed met Xwrt-Vortex.

Ik moet zeggen, ik ben zeer aangenaam verrast, de downloadsnelheid van een news server is sneller dan met de Netgear firmware, en de webinterface is veeeeeeel sneller. Het saven van een aanpassing in de configuratie duurde met de Netgear firmware soms wel een minuut, met de Xwrt-Vortex is het binnen 10 seconden gebeurt.

Wifi snelheid is voor alle apparaten een kleine 10% sneller (speedtest.net).

Zelfs de resultaten bij de Ziggo snelheid zijn iets sneller, met name de upload :)
Berryman
@DarkShaDows11 december 2016 09:21
Xwrt-Vortex gebruik ik ook al jaren naar volle tevredenheid. Misschien goed om erbij te vermelden dat de exploit bij deze firmware niet werkt. Je krijgt een 404 not found als antwoord
sjvs
10 december 2016 23:47
Hier een eenvoudige manier om de kwetsbaarheid te verhelpen: http://www.sj-vs.net/a-te...-r7000-and-r6400-routers/

Uiteraard geen ideale oplossing, maar je kunt in ieder geval je router veilig gebruiken terwijl Netgear aan een echte oplossing werkt...
MrMarcie
@sjvs11 december 2016 00:53
Ik heb hier zelf weinig verstand van maar werd er ergens anders op gewezen dat dit wel helpt maar telnetd dan nog steeds draait.
sjvs
@MrMarcie11 december 2016 22:05
telnetd draait niet standaard - dat is niet de kern van deze kwetsbaarheid. Het voorbeeld dat hier en daar genoemd wordt is dat deze kwetsbaarheid gebruikt kan worden om telnetd te starten, en vervolgens verder misbruikt te maken van de router en de internetverbinding.

Dus: als je de kwetsbaarheid weet uit te schakelen (bijvoorbeeld m.b.v. mijn tijdelijke oplossing) dan kan een hacker telnetd niet meer starten, en ben je dus veilig.
MrMarcie
@sjvs11 december 2016 22:30
Ah, is die oplossing van jouw? Dank daarvoor, ik heb die kennis niet maar zo'n handleiding kan ik wel uitvoeren. Nu maar hopen op een snelle patch van Netgear alhoewel er hier en daar wel geklaagt wordt over dat ze totaal niet regaeren/communiceren. Wacht zelf morgen nog af, anders maar andere firmware proberen.
sjvs
@MrMarcie12 december 2016 11:28
Ja, ik heb die workaround bedacht. Was niet ingewikkeld hoor: het gebruikt de kwetsbaarheid om de kwetsbaarheid uit te schakelen :).

Netgear heeft inmiddels het bestaan van de kwetsbaarheid bevestigd, maar heeft verder nog geen oplossing of nieuwe firmware uitgebracht.
Inbox4me
@MrMarcie11 december 2016 09:24
Daar ben ik ook wel benieuwd naar: ik heb de webservice gekilled, maar hoe kwetsbaar is de r7000 router dan nog icm telnetd? Iemand die hier wat zinnigs over kan zeggen? :)
MrMarcie
@Inbox4me11 december 2016 09:35
Als ik zo eens beetje rond lees op internet dan zijn de routers van Netgear hardwarematig fantastisch (daarom deze ook gekocht) maar is de software kant een ramp (wist ik niet). Denk toch dat ik maar eens firmware van derden moet installeren. Maar ja, die Xwrt-Vortex waar iedereen zo enthousiats over is, als ik naar die website ga eindigt de url op .ru (Rusland). Wordt ik ook niet vrolijk van, maar kan kort door de bocht van mij zijn.
En hoe kan ik nu weten welke firmware wel secure is?
Inbox4me
@MrMarcie11 december 2016 09:42
Ik kom tot dezelfde conclusie, maar heb ook niet heel veel zin om firmware van 3en te installeren (ivm dat ik niet weet hoe betrouwbaar het is, en aan de andere kant heb ik weinig trek om m'n router te flashen). Wat betreft betrouwbaarheid ben ik ook wat voorzichtig, maar aan de andere kant: op http://www.linksysinfo.or...n-on-netgear-r7000.71108/ staan zoveel reacties van gebruikers én gaat deze firmware al even mee dat ik denk dat het veilig is (maar goed, ik weet het niet zeker ;) )
Thirler
11 december 2016 15:35
Er is nu een work around: http://www.sj-vs.net/a-te...-r7000-and-r6400-routers/.

Gebruik de root Access om de http server uit te zetten. Werkt tot je hem reset. Geen permanente wijzigingen.j e kunt alleen niet bij je instellingen tot je hem reset.
Swurgin
11 december 2016 22:36
Voor een 'temporary fix' heb ik dit gevolgd,

http://www.sj-vs.net/a-te...-r7000-and-r6400-routers/

Hoop niet dat ik nu iets extreem doms heb gedaan ?

EDIT; Sorry, zie nu dat dit al in de comments staat. @Thirler

[Reactie gewijzigd door Swurgin op 11 december 2016 22:39]

ninasky11
@Swurgin12 december 2016 00:41
Bedankt, tijdelijke fix maar het is beter als niks :) :)
Thalaron
@Swurgin12 december 2016 16:07
Hier de R7000 met Firmwareversie V1.0.5.64_1.1.88
Net even gekeken via je link,

Ik krijg bij http://[router-address]/cgi-bin/;uname$IFS-a
met [router-adress] -> xx.xx.xx.xx zonder de haken dit te zien;

noresize scrolling="no" marginwidth="0" marginheight="0" framespacing="0" frameborder="0" border="0"> Linux R7000 2.6.36.4brcmarm+ #30 SMP PREEMPT Tue May 3 21:15:45 CST 2016 armv7l unknown

Betekend dit nu dat ik wel of juist niet kwetsbaar ben of doe ik wat verkeerd :?
Swurgin
@Thalaron13 december 2016 02:37
@Thalaron Dan ben je kwetsbaar en moet je het linkje in stap twee aan klikken.
Dat zal een foutmelding geven in de trant van 'unable to connect' (bij mij).
Wanneer je nu weer de link in jouw comment (of stap 1 van de blog) klikt, moet je nu dezelfde foutmelding krijgen.
Dan is de 'temporary fix' functioneel.
Thalaron
@Swurgin13 december 2016 08:34
Tnhx!
MrMarcie
12 december 2016 10:06
Netgear heeft eindelijk een reactie gegeven: http://kb.netgear.com/000036386/CVE-2016-582384
thijsvt
9 december 2016 22:51
Ik vraag me het volgende af.

Indien je de Netgear als acces point gebruik en bijv. een normale modem/router van KPN/Ziggo hebt zou je dan alsnog schadelijk zijn van buitenaf? Natuurlijk intern zou iemand nog steeds iets simpelweg kunnen uitvoeren op de router maar andersom?
HakanX
@thijsvt10 december 2016 02:19
Ja je bent nog steeds kwetsbaar. Als één van je apparaten via de accespoint op welk manier dan ook de kwetsbare link heeft geladen, kan jouw accespoint vanaf dat moment voor andere doeleinden gebruikt worden door de kwaadwillende.
thijsvt
@HakanX10 december 2016 10:13
Hmm ok dat is handig om te weten bedankt voor de info!
macnerd
@thijsvt10 december 2016 02:59
Ik denk eigenlijk van wel. Stel je bezoekt als bezitter van zo'n Netgear router een site met zo'n malafide url ergens op de pagina. Jouw computer gaat via die url naar je Netgear en daarmee wordt de router besmet. Na de initiële besmetting zal de Netgear zelf url's opvragen met verdere instructies (ddos, minen van bitcoins, vul maar in). Omdat de router midden in je netwerk zelf zit en zelf contact zoekt, zal je KPN/Ziggo modem die router hetzelfde toestaan wat een gewone clients ook mogen. Meestal alles dus.

Kortom, heb je een Netgear, zet dan even die url in je hosts-file, met 127.0.0.1 of een ander veilig IP-adres. Dan kan je netwerk in ieder geval niet meer op de manier besmet raken.
thijsvt
@macnerd10 december 2016 10:14
Zal er eens naar kijken als ik het tegen kom ;) bedankt!
macnerd
@thijsvt10 december 2016 13:58
Wat anderen ook al genoemd hebben: de hosts-file aanpassen op smartphones en tablets kan best een uitdaging zijn als je geen root-access hebt. Helemaal waterdicht is het dus niet.
sjvs
@macnerd12 december 2016 11:29
Deze oplossing (staat inmiddels ook in het artikel) is een stuk eenvoudiger, sneller, en effectiever: https://u.traiectum.net/ntgr
Omer
@thijsvt10 december 2016 00:44
Ah, dat wilde ik juist gaan vragen (Ik gebruik mijn R7000 namelijk als access point, icm met een Ziggo modem/router)). Ik zie een 'Nvm' als reactie op je post. Ik weet niet wat dat betekent.
DerDee
@Omer10 december 2016 02:30
Nevermind, dus laat maar. Hij heeft bovenstaande reacties gelezen en gezien dat een actie van buitenaf eigenlijk niet heel makkelijk mogelijk is.
Omer
@DerDee10 december 2016 22:33
Thanx. Inmiddels zijn er reacties bijgekomen zie ik die zeggen dat er wel degelijk risico's zijn :-(
pietervanhuizen
@thijsvt9 december 2016 23:46
Nvm

[Reactie gewijzigd door pietervanhuizen op 9 december 2016 23:47]

eamelink
9 december 2016 21:02
Het is niet zo ernstig als het bericht doet vermoeden; het is niet een remote attack die een aanvaller rechtstreeks van buitenaf op jouw router kan uitvoeren. De aanvaller moet jouw computer verleiden om een bepaalde request naar je router te doen. Daarvoor moet een machine binnen jouw netwerk bijvoorbeeld op een kwaadaardige website komen die die url opvraagt.
Joecatshoe
@eamelink10 december 2016 00:55
Het is geen aanval van buitenaf, maar niet zo ernstig? Die requests naar de router zijn eenvoudige HTTP requests. Het enige dat je dus moet doen is een website opzetten met een iframe die verwijst naar het interne IP van de router met de code/commando's naar keuze en je bent binnen. In 99% van de gevallen zal dat het standaard IP zijn. Dan is het maar een kwestie van wat poorten open te zetten of een reverse tunnel op te zetten en je hebt zo toegang tot heel het netwerk van het slachtoffer. Een persoon op een link laten klikken is doodeenvoudig, of denk maar aan advertenties die automatisch laden in geval dat er geen adblocker wordt gebruikt.

En dat allemaal zonder exploit, zonder hacking, zonder malware, maar gewoon door een website te serveren die vlotjes door elke firewall en virusscanner doorgelaten wordt. Verstop dit ergens in een advertentie via een shady advertentienetwerk en je hebt op een paar dagen misschien honderden zo niet duizenden slachtoffers zonder veel moeite. Botnet, kom er maar in. Niet zo ernstig, noem je dat. 8)7

[Reactie gewijzigd door Joecatshoe op 10 december 2016 01:02]

DerDee
@Joecatshoe10 december 2016 02:23
Wat eamelink probeert te zeggen is dat niet iedereen zomaar gehackt kan worden. Als je op sites komt waar shady advertentienetwerken worden gebruikt, ben je toch zelf ook niet lekker bezig. Daarbij komt dat je router niet enige beveiliging is van je pc. Al heb je een open poort is dat niet zo dat een hacker zomaar even naar binnen komt wandelen. Dan moet je aan je PC kant toch mallware of bugs in OS o.i.d. hebben zitten.
Het is zeker niet wenselijk, maar zoals al eerder wordt gezegd: Ik ga mijn router nu niet direct afsluiten.
Dreamvoid
@DerDee10 december 2016 09:48
Zelfs normale sites als nu.nl hebben shady advertenties geserveerd. En het gaat hier niet om de PC, die hoeft niet gehacked te worden. Als je blijkbaar niet snapt hoe deze exploit werkt, zou ik absoluut die router offline halen.
DerDee
@Dreamvoid12 december 2016 10:37
Na de exploit te gebruiken heb je een poort die open staat o.i.d. Dat is nog niet zo'n ramp, er zit altijd nog beveiliging aan de pc kant als een firewall o.i.d.
"Blijkbaar" heb je geen idee wat de impact is op een site als deze wordt getrapt op malafide advertenties serveren. Zo heeft Nu.nl na de bewuste daad een enorme dip gehad in bezoekers. Bij Google wordt je volledig op alle mogelijke wijze uit het advertentie systeem verbannen. Niemand wil dit zeker geen betrouwbare site!
Ik heb router op ander ip draaien als standaard, dus wordt bij mij al erg lastig ;)
macnerd
@Joecatshoe10 december 2016 02:43
Een iframe is niet nodig, het kan iedere willekeurige tag zijn die een url opvraagt. Dus ook tag voor een afbeelding, een CSS-file, een JavaScript-file, een link (die dan wel weer aangeklikt moet worden), of een stuk inline JavaScript , de action van een form tag, maar ook event handlers zoals bv onLoad op de body tag of achter een knop. Alles wat een url opvraagt dus. Met of zonder interactie van de gebruiker.

Compleet met je eens dat dit gevaarlijk is. Zelf meteen even mijn hostfile aangepast, ik gebruik die speciale hostname van de router toch niet. Mocht ik dus een website bezoeken die die url opvraagt dan gaat ie simpelweg naar 127.0.0.1.
Dreamvoid
@macnerd10 december 2016 09:51
Probleem is, dat is enkel jouw PC. Elke telefoon/tablet/etc op je interne netwerk is ook een risico.
macnerd
@Dreamvoid10 december 2016 12:37
Daar heb je inderdaad een punt.
mrtnvnl
@macnerd10 december 2016 09:59
Je hosts file aanpassen op een Ipad is nog best een uitdaging. :|

Overigens vind ik redirecten naar 127.0.0.1 nogal saai. Als je redirect naar een site die je noooit zou bezoeken, weet je meteen dat er een foute URL werd bezocht. Kan niet iemand een pagina met een counter hosten die iedereen als redirect kan instellen?
macnerd
@mrtnvnl10 december 2016 13:54
Ik zat dan ook achter een laptop :) Zonder root-access is het zeker een uitdaging op mobiele apparaten.

Ik ben er niet zo zeker van dat je het zo duidelijk zou zien als je redirect naar een site die je normaal nooit bezoekt. Ik verwacht niet dat zo'n url in een iframe komt, maar eerder in tags die je niet ziet, CSS, event handlers of JavaScript. Bovendien hebben de meeste (mannelijke) tweakers Disney.com al vaker gezien :+

Een counter is een grappig idee. Dat betekent wel een paar dingen. Het domein is geregistreerd door Netgear. Je zult dus de hosts-file moeten aanpassen of een alternatieve DNS opzetten/gebruiken. Bij een alternatieve DNS zal er gebruik gemaakt kunnen worden van name-based hosting, bij een aanpassing van de host-file niet. Bovendien, als jij die alternatieve DNS niet zelf hebt opgezet, zou je 'm dan vertrouwen?
Goed, de host-file is dus de simpelste en meest vertrouwde optie. Je hebt voor de counter dus IP-based hosting nodig. Die zijn al duurder, en los daarvan, hostingbedrijven zitten niet te wachten op veel verkeer op shared servers. Als er veel mensen die counter instellen en de aanval op veel (vaak-bezochte) websites staat, dan ziet het er al snel uit als een DDOS-attack wat betreft die hoster. Vandaar dus mijn keuze voor het saaie IP-adres. Maar je weet toch: there's no place like 127.0.0.1 8-)
Floort
@eamelink9 december 2016 21:05
Dat klinkt alsof het beperkt is tot elke website en elke advertentie die je in je browser te zien krijgt.
1 2 3 4

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee