Ernstig lek in Netgear-routers laat aanvaller root-code uitvoeren - update - Computer - Nieuws

Het Amerikaanse Cert van de Carnegie Mellon-universiteit waarschuwt dat R7000- en R6400-routers van Netgear een ernstig beveiligingslek bevatten. Hierdoor kan een aanvaller op afstand willekeurige code als root uitvoeren.

Volgens de organisatie is er inmiddels een exploit voor de kwetsbaarheid beschikbaar, waardoor gebruikers risico lopen. Het advies is dan ook om de routers niet te gebruiken tot er een patch beschikbaar is. Vooralsnog lijkt deze niet door Netgear uitgebracht te zijn. ZDNet schrijft dat een woordvoerder van het bedrijf nog niet op vragen heeft gereageerd. Het Amerikaanse Cert meldt verder dat het lek te misbruiken is door een slachtoffer een kwaadaardige site te laten bezoeken. Een aanval is ook via het lokale netwerk mogelijk.

Bij de kwetsbaarheid gaat het om de mogelijkheid voor command injection, die aanwezig is in versie 1.0.7.2_1.1.93 van de firmware van het R7000-model. Bij de firmware van het R6400-model gaat het om versie 1.0.1.6_1.0.4. Het is mogelijk ook aanwezig in eerdere versies, aldus het Cert. Daarnaast is het niet uit te sluiten dat andere routermodellen eveneens kwetsbaar zijn.

Kwetsbaarheden in routers zorgden er onlangs voor dat een miljoen Duitsers zonder internet kwamen te zitten. De uitval van de routers werd later aan de Mirai-malware toegeschreven, die ervoor zorgde dat de apparaten niet meer functioneerden maar ze niet infecteerde.

Update, 12-12: In afwezigheid van een patch is er een tijdelijke work-around beschikbaar. Deze schakelt de webserver uit tot de router wordt herstart. Netgear heeft in een security advisory melding gemaakt van het lek, maar meldt nog niets over een patch.

Reacties (144)

CyberJohn 9 december 2016 22:49

Mijn Netgear X6 R8000 is hier ook vatbaar voor, dus niet alleen de R7000 en de R6400:
https://gyazo.com/d54de997b8e8362d8d59c4a07046c8ec (commando top)

https://gyazo.com/3548d3d1c6dbb56e02dc4c96e400afbc (router & laatst beschikbare firmware)

[Reactie gewijzigd door CyberJohn op 23 juli 2024 07:36]

MiesvanderLippe @CyberJohn • 10 december 2016 11:09

Wat een verschrikkelijk amateuristisch lek... Dit leer je bij de meeste studies bij wijze van spreken nog voordat je te horen krijgt wat user input uberhaubt is.

Anoniem: 636203 @MiesvanderLippe • 10 december 2016 13:59

Mee eens. De ontwikkelaars die de firmware maken zijn vaak sukkels, want het zijn echt BASALE fouten.

luukw @CyberJohn • 10 december 2016 12:31

Blijkbaar zit het echt in de nieuwe firmware van een aantal modellen want mijn Netgear R6300v2 op firmware V1.0.4.6_10.0.76 wil eerst dat ik mijn inloggegevens invul. En daarna komt de router met: 404 Not Found The resource you have requested is not available of Access to this web page is currently unavailable.

[Reactie gewijzigd door luukw op 23 juli 2024 07:36]

reablom @luukw • 10 december 2016 22:15

Nope, op mijn R7000 met zeker niet de nieuwste firmware werkt het ook gewoon.

luukw @reablom • 11 december 2016 17:24

Welke firmwareversie dan?
Laat ik het anders stellen dan

:
De firmware op een aantal moderne apparaten uit de laatste generatie(s) is blijkbaar kwetsbaar voor dit lek maak ik op uit mijn eigen bevindingen.
Hopelijk komt een patch snel voor diegene die kwetsbaar zijn, want je kunt zo via een advertentie, een plaatje van een YouTube-speler op een website die uiteraard niet naar YouTube leidt, etc. die je naar http://standaardrouterwebsite/cgi-bin/;commando leiden en zo de code kunnen laten uitvoeren. (Waarbij commando natuurlijk het gewilde commando is die de aanvallers willen uitvoeren

)

[Reactie gewijzigd door luukw op 23 juli 2024 07:36]

reablom @luukw • 13 december 2016 19:10

1.04 nog iets.
Als ik http://"ip"/cgi-bin/;top intyp krijg ik een overzicht met processen.

[Reactie gewijzigd door reablom op 23 juli 2024 07:36]

Anoniem: 112442 @CyberJohn • 10 december 2016 14:33

Mijn Netgear X6 R8000 is hier ook vatbaar voor, dus niet alleen de R7000 en de R6400:
https://gyazo.com/d54de997b8e8362d8d59c4a07046c8ec (commando top)

https://gyazo.com/3548d3d1c6dbb56e02dc4c96e400afbc (router & laatst beschikbare firmware)

De voorganger had ook al problemen.
Netgear Routers Plagued by Serious Vulnerabilities

[Reactie gewijzigd door Anoniem: 112442 op 23 juli 2024 07:36]

luukw @Anoniem: 112442 • 11 december 2016 17:28

Ik heb laatst toevallig wel een update gekregen voor mijn R6300v2 en die heeft nergens last van met ingeschakelde webinterface.

Archie_T 10 december 2016 18:58

Ik heb ook zo'n router, dus even gezocht. Dit klinkt als een goede oplossing:
http://www.sj-vs.net/a-te...-r7000-and-r6400-routers/
Hiermee kill je de webinterface en dus kan niemand meer CGI-BIN misbruiken.

Omer @Archie_T • 11 december 2016 00:40

Dank. Werkt deze fix óók als je de R7000 als Access Point gebruikt? (Ik las verder naar beneden in dit topic namelijk dat je ook dán kwetsbaar bent). Ben zelf een leek op dit gebied.

Die url http://<ip-adres access point>/cgi-bin/;uname$IFS-a geeft bij mij overigens inderdaad een pagina met allerlei code, en helemaal onderaan de tekst 'Linux R7000 2.6.36.4brcmarm+ (...)', zoals ook in de link wordt genoemd. Dus mijn R7000 is blijkbaar óók vulnerable.

Als ik naar de url http://<ip-adres access point>/cgi-bin/;killall$IFS'httpd' navigeer, dan kan ik vervolgens inderdaad niet meer de webbrowser van de R7000 benaderen ("This site can't be reached"). Na een reboot van t access point weer wél. Dus wat dat betreft komt t allemaal overeen met hetgeen op die link wordt beschreven.

Ik heb die laatste url zojuist nogmaals ingevoerd, en ik laat t voorlopig dan maar zo, voor de zekerheid. Baat t niet dan schaadt t niet lijkt me.

[Reactie gewijzigd door Omer op 23 juli 2024 07:36]

Loopx @Omer • 11 december 2016 08:41

Deze fix werkt inderdaad ook als de router in AP mode staat, net zelf ook hier uitgevoerd en beide routers waren inderdaad kwetsbaar (eentje in AP mode) en op beide kon je op dezelfde manier het webserver process killen.

Goed, ja kan niet meer bij de web interface om configuratie aan te passen maar hoe vaak doe je dat, en zoals je aangeeft herstarten van de router zal het process weer starten en je weer toegang geven tot dewebinterface (en vulnerability!).

Nu maar hopen dat er redelijk vlot een officiele fix komt

Omer @Loopx • 11 december 2016 10:56

Dank. En inderdaad: Ik kom bijna nooit in die web interface.

Mickpunt @Archie_T • 11 december 2016 10:39

Hey Archie_T, prima tijdelijke oplossing, dank voor de link! In minder dan een minuut uit te voeren. Hoop dat NetGear snel met een "echte" fix komt.

Retron @Archie_T • 10 december 2016 19:47

Ik krijg deze melding als ik de tweede stap probeer uit te voeren. Weet iemand wat ik verkeerd doe ?
'telnet' is not recognized as an internal or external command,
operable program or batch file.

MrMarcie @Retron • 10 december 2016 19:50

Had ik ook, makkelijk op te lossen: CONTROL PANEL > PROGRAMS > TURN WINDOWS FEATURS ON OFF >> en daar klik je telnet aan. Ff wachten en dan werkt het.

Retron @MrMarcie • 10 december 2016 21:33

Thanks ! Is gelukt !

Archie_T @Retron • 10 december 2016 19:49

Je moet telnetd en niet telnet doen. (Daemon laden)
<edit> sorry, je bedoelt de client. Ja dan even Putty gebruiken of inderdaad telnet inschakelen op Windows.

[Reactie gewijzigd door Archie_T op 23 juli 2024 07:36]

MrMarcie @Archie_T • 10 december 2016 19:33

Gedaan. Dank.

p.s. Moest wel ff telnet inschakelen in Windows 10

[Reactie gewijzigd door MrMarcie op 23 juli 2024 07:36]

luukw @Archie_T • 11 december 2016 17:39

Dus je stopt de lokale (web)server. Is misschien een goede tijdelijke oplossing, maar als je ReadyShare gebruikt om een SSD/HDD aan je router te hangen via USB is dit onhandig.
Verder moet dit lek gewoon snel opgelost worden door de permissies tot de cgi-bin map bij te stellen/dicht te gooien, dat ze dat niet zelf bij het maken van de firmware hadden kunnen bedenken om zomaar van een onderdeel dat systeem toegang heeft zo open te stellen

.
Als ik bij mijn R6300v2 de commando's invoer moet ik eerst inloggen met mijn admin account om vervolgens 404 Not Found te krijgen dus daar zitten de permissies blijkbaar wel goed

.
Dan kunnen ze daarna op hun "gemak" een betere fix maken en daarin de permissies allemaal 100% goed afstellen, maar eerst eens op slot gooien zodat dit niet langer misbruikt kan worden en dan naar alle routemodellen pushen.

Archie_T @luukw • 11 december 2016 19:30

Helemaal mee eens. Alleen is dit wel even een betere oplossing dan het advies (de router niet meer gebruiken). Je hebt in ieder geval nog core functionaliteit.

Pikkemans 9 december 2016 21:03

Net even een check gedaan op mijn R7000 hier en als je in het LAN zit kun je inderdaad commands uitvoeren op een relatief makkelijke manier

http://<router_IP>/cgi-bin/;COMMAND

Voor buitenaf staat dit standaard dicht. Het is een klein beetje overdreven om als advies mee te geven om je router helemaal niet meer te gebruiken, veel mensen hebben niet een hot-spare liggen.

Totdat er een update uit is gewoon oppassen met eventuele spam mailtjes met een dergelijke links die lijken op het bovenstaande.

edit: typo

edit2: misschien is het wijzigen van je router LAN IP een redelijke workaround tot de patch. Alleen als je het default IP nog gebruikt (zoals ik net nog deed).

[Reactie gewijzigd door Pikkemans op 23 juli 2024 07:36]

hcQd @Pikkemans • 9 december 2016 21:09

Iemand kan op een website een "plaatje" neerzetten dat naar een dergelijke URL verwijst, daarmee kun je ook van buitenaf inbreken. Dat werkt natuurlijk alleen als de LAN IP-range niet gewijzigd is, maar dat doen niet zoveel gebruikers.

Caelyn @hcQd • 9 december 2016 21:16

Nadeeltje van de netgear routers (zelf ook een R7000 bezitter) is dat standaard bij alle routers, ongeacht de iprange in het LAN, er een domain adres (http://www.example.com) is dat naar de homepage van het router verwijst. Handig voor de leek, niet handig voor deze URL's... (voor het gemak noem ik hem hier maar even niet

)

hcQd @Caelyn • 9 december 2016 21:19

Asus doet dat ook. Eventueel op te lossen door /etc/hosts (op de router) aan te passen.

William_H @hcQd • 9 december 2016 23:55

Dan moet je wel bij /etc/hosts kunnen. Veelal zijn die routers helemaal dichtgetimmerd om dat soort wijzigingen te kunnen aanbrengen. Dat dan weer wel.

mkools24 @William_H • 10 december 2016 00:26

Lol lees dit nieuwsbericht, root access

Lijkt me voldoende om /etc/hosts te mogen aanpassen.

Caelyn @hcQd • 9 december 2016 21:22

Dat weet jij, dat weet ik, maar de meeste gebruikers van die routers gaat dat denk ik te ver... en dat maakt het nou juist zo tricky imho...

macnerd @hcQd • 10 december 2016 02:23

Lokaal op je computer(s) de hosts-file aanpassen zal ook werken, aangezien die als eerste wordt geraadpleegd. Je moet echter wel alle computers aanpassen die met je router verbinden, anders kan de router alsnog gehacked worden.

Borromini @Caelyn • 9 december 2016 21:20

Dat hebben meerdere fabrikanten btw, ook bv. TP-Link denk ik.

sypie @Borromini • 9 december 2016 21:47

Jep, TP-Link ook. Je tikt in je browser een URL in die lijkt op een normale URL voor een website. Ondertussen kom je op je eigen router uit. Eerste keer dat ik dit had vond ik het merkwaardig, was ik niet gewend om zo te doen.

nullbyte @sypie • 10 december 2016 00:48

Daarvoor heb je gewoon een extern ip adres nodig en remote access enabled

NewNick @Caelyn • 10 december 2016 13:02

Klopt, bij de R7000 redirect http://routerlogin.net naar het ip van de router, ongeacht of die gewijzigd is. Het beste kun je alle apparaten met het gast netwerk laten verbinden omdat je via het gast netwerk niet bij de router kunt. Dit kun je het beste doen door de SSID van het niet-gastnetwerk te wijzigen naar iets willekeurigs en de SSID en het wachtwoord van het niet-gastnetwerk daarna in te vullen bij het gastnetwerk zodat alle apparaten automatisch verbinden met het gastnetwerk. Apparaten die met een internetkabel zijn verbonden kunnen dan wel nog bij de router.

nullbyte @Caelyn • 10 december 2016 00:43

Dan zal je eerst op het interne netwerk moeten komen. Daarna kun je via de standaard url naar de router. De meeste routers hebben dit. Daar kom je niet zo maar van buiten af bij.

[Reactie gewijzigd door nullbyte op 23 juli 2024 07:36]

Caelyn @nullbyte • 10 december 2016 01:01

Dat is het hele punt juist, dat hoeft niet. Gewoon een linkje in een mail, plaatje of ad op een site... De gene die achter zo'n unit zit die er op klikt doet het werk voor je...

Ossebol @Caelyn • 10 december 2016 11:10

Zoiets als http://routerip/;telnetd$IFS-p$IFS'45' zou al genoeg zijn om telnet te starten. Bron: https://twitter.com/r00tx55/status/807492677516173313

Caelyn @Ossebol • 10 december 2016 13:29

Klopt inderdaad. Ik heb al even zitten spelen, en http://www.routerlogin.net/cgi-bin/;top bijvoorbeeld, geeft heel netjes het top overzicht van de router, ongeacht welk IP het router heeft...

Anoniem: 851735 @Caelyn • 10 december 2016 13:01

Ik heb nu de firmwareversie 1.0.3.56_1.1.25 bij de r7000. Geldt dit lek dan ook?

wica @hcQd • 10 december 2016 08:54

Default IP range is niet altijd nodig.
Sommige linux systemen met systemd, resolven de hostname gateway, naar het gateway adres van het LAN, wat in dit geval meestal de Netgear-router is.

The hostname "gateway" is resolved to all current default routing gateway addresses, ordered by their metric. This assigns a stable hostname to the current gateway, useful for referencing it independently of the current network configuration state.

https://www.freedesktop.o...emd-resolved.service.html

Waardoor dit zou werken.
http://gateway/cgi-bin/;COMMAND

[Yellow] @Pikkemans • 10 december 2016 10:29

Ik heb zelf een ouder model Netgear. Als ik het probeer krijg ik de login prompt. Betekent dat deze aanval te voorkomen is door een setup wachtwoord in te stellen? Of is dat alleen bij mijn model Netgear zo?

Overigens lijkt de exploit wel heel erg veel op shellshock https://en.wikipedia.org/wiki/Shellshock_%28software_bug%29

[Reactie gewijzigd door [Yellow] op 23 juli 2024 07:36]

Pikkemans @[Yellow] • 10 december 2016 11:24

Er zijn maar twee modellen waarbij de exploit werkt. Die cgi-bin url is op deze modellen beschikbaar zonder login prompt.

aawe mwan @Pikkemans • 9 december 2016 21:16

Werkt deze URL ook als de src van een iframe van 1 bij 1 pixel?

tedades @aawe mwan • 10 december 2016 20:17

Het lijkt mij dat het niet uitmaakt hoe je browser de url aanroept, dat zou via een link/i-frame/javascript/html-redirect/flash kunnen gebeuren. Je kan het ook via een app doen op een telefoon, eigenlijk ieder apparaat dat verbonden is op dit type router zou dit kunnen doen.

Kun je het niet tijdelijk zo op lossen (kan het zelf niet proberen)?
http://routerlogin.net/cgi-bin/;killall$IFShttpd

tedades @tedades • 12 december 2016 21:02

De magische combinatie lijkt uiteindelijk:
http://www.routerlogin.ne...i-bin/;killall$IFS'httpd'

Meer te lezen hier:
nieuws: Tweaker publiceert tijdelijke oplossing voor kwetsbaarheid in Netgear...

macnerd @aawe mwan • 10 december 2016 02:32

Een iframe is een stukje html dat door je browser weergegeven wordt als een pagina in je pagina. Maar los van hoe het weergegeven wordt (als het al weergegeven wordt, het kan net zo goed via JavaScript), het is simpelweg een url die opgevraagd zal worden.

Een url is voor een browser compleet nietszeggend. Het is prima mogelijk om een webserver zo te configureren dat webpagina's eindigen op .jpg en dat afbeeldingen via een PHP-pagina komen die eigenlijk door ASP.NET wordt aangeleverd. Ook als je een url van een webpagina gebruikt bij een img tag, dan zal die url gewoon opgevraagd worden. Vervolgens komt de browser erachter dat de url geen afbeelding is en dat ie er dus niks mee kan.

DarkShaDows 10 december 2016 16:44

Naar aanleiding van opmerkingen in dit forum, en de mega langzame standaard Netgear firmware van mijn R7000 heb ik deze geflashed met Xwrt-Vortex.

Ik moet zeggen, ik ben zeer aangenaam verrast, de downloadsnelheid van een news server is sneller dan met de Netgear firmware, en de webinterface is veeeeeeel sneller. Het saven van een aanpassing in de configuratie duurde met de Netgear firmware soms wel een minuut, met de Xwrt-Vortex is het binnen 10 seconden gebeurt.

Wifi snelheid is voor alle apparaten een kleine 10% sneller (speedtest.net).

Zelfs de resultaten bij de Ziggo snelheid zijn iets sneller, met name de upload

Berryman @DarkShaDows • 11 december 2016 09:21

Xwrt-Vortex gebruik ik ook al jaren naar volle tevredenheid. Misschien goed om erbij te vermelden dat de exploit bij deze firmware niet werkt. Je krijgt een 404 not found als antwoord

Anoniem: 608951 10 december 2016 23:47

Hier een eenvoudige manier om de kwetsbaarheid te verhelpen: http://www.sj-vs.net/a-te...-r7000-and-r6400-routers/

Uiteraard geen ideale oplossing, maar je kunt in ieder geval je router veilig gebruiken terwijl Netgear aan een echte oplossing werkt...

MrMarcie @Anoniem: 608951 • 11 december 2016 00:53

Ik heb hier zelf weinig verstand van maar werd er ergens anders op gewezen dat dit wel helpt maar telnetd dan nog steeds draait.

Anoniem: 608951 @MrMarcie • 11 december 2016 22:05

telnetd draait niet standaard - dat is niet de kern van deze kwetsbaarheid. Het voorbeeld dat hier en daar genoemd wordt is dat deze kwetsbaarheid gebruikt kan worden om telnetd te starten, en vervolgens verder misbruikt te maken van de router en de internetverbinding.

Dus: als je de kwetsbaarheid weet uit te schakelen (bijvoorbeeld m.b.v. mijn tijdelijke oplossing) dan kan een hacker telnetd niet meer starten, en ben je dus veilig.

MrMarcie @Anoniem: 608951 • 11 december 2016 22:30

Ah, is die oplossing van jouw? Dank daarvoor, ik heb die kennis niet maar zo'n handleiding kan ik wel uitvoeren. Nu maar hopen op een snelle patch van Netgear alhoewel er hier en daar wel geklaagt wordt over dat ze totaal niet regaeren/communiceren. Wacht zelf morgen nog af, anders maar andere firmware proberen.

Anoniem: 608951 @MrMarcie • 12 december 2016 11:28

Ja, ik heb die workaround bedacht. Was niet ingewikkeld hoor: het gebruikt de kwetsbaarheid om de kwetsbaarheid uit te schakelen

.

Netgear heeft inmiddels het bestaan van de kwetsbaarheid bevestigd, maar heeft verder nog geen oplossing of nieuwe firmware uitgebracht.

Inbox4me @MrMarcie • 11 december 2016 09:24

Daar ben ik ook wel benieuwd naar: ik heb de webservice gekilled, maar hoe kwetsbaar is de r7000 router dan nog icm telnetd? Iemand die hier wat zinnigs over kan zeggen?

MrMarcie @Inbox4me • 11 december 2016 09:35

Als ik zo eens beetje rond lees op internet dan zijn de routers van Netgear hardwarematig fantastisch (daarom deze ook gekocht) maar is de software kant een ramp (wist ik niet). Denk toch dat ik maar eens firmware van derden moet installeren. Maar ja, die Xwrt-Vortex waar iedereen zo enthousiats over is, als ik naar die website ga eindigt de url op .ru (Rusland). Wordt ik ook niet vrolijk van, maar kan kort door de bocht van mij zijn.
En hoe kan ik nu weten welke firmware wel secure is?

Inbox4me @MrMarcie • 11 december 2016 09:42

Ik kom tot dezelfde conclusie, maar heb ook niet heel veel zin om firmware van 3en te installeren (ivm dat ik niet weet hoe betrouwbaar het is, en aan de andere kant heb ik weinig trek om m'n router te flashen). Wat betreft betrouwbaarheid ben ik ook wat voorzichtig, maar aan de andere kant: op http://www.linksysinfo.or...n-on-netgear-r7000.71108/ staan zoveel reacties van gebruikers én gaat deze firmware al even mee dat ik denk dat het veilig is (maar goed, ik weet het niet zeker

)

Thirler 11 december 2016 15:35

Er is nu een work around: http://www.sj-vs.net/a-te...-r7000-and-r6400-routers/.

Gebruik de root Access om de http server uit te zetten. Werkt tot je hem reset. Geen permanente wijzigingen.j e kunt alleen niet bij je instellingen tot je hem reset.

Swurgin 11 december 2016 22:36

Voor een 'temporary fix' heb ik dit gevolgd,

http://www.sj-vs.net/a-te...-r7000-and-r6400-routers/

Hoop niet dat ik nu iets extreem doms heb gedaan ?

EDIT; Sorry, zie nu dat dit al in de comments staat. @Thirler

[Reactie gewijzigd door Swurgin op 23 juli 2024 07:36]

ninasky11 @Swurgin • 12 december 2016 00:41

Bedankt, tijdelijke fix maar het is beter als niks

Thalaron @Swurgin • 12 december 2016 16:07

Hier de R7000 met Firmwareversie V1.0.5.64_1.1.88
Net even gekeken via je link,

Ik krijg bij http://[router-address]/cgi-bin/;uname$IFS-a
met [router-adress] -> xx.xx.xx.xx zonder de haken dit te zien;

noresize scrolling="no" marginwidth="0" marginheight="0" framespacing="0" frameborder="0" border="0"> Linux R7000 2.6.36.4brcmarm+ #30 SMP PREEMPT Tue May 3 21:15:45 CST 2016 armv7l unknown

Betekend dit nu dat ik wel of juist niet kwetsbaar ben of doe ik wat verkeerd

Swurgin @Thalaron • 13 december 2016 02:37

@Thalaron Dan ben je kwetsbaar en moet je het linkje in stap twee aan klikken.
Dat zal een foutmelding geven in de trant van 'unable to connect' (bij mij).
Wanneer je nu weer de link in jouw comment (of stap 1 van de blog) klikt, moet je nu dezelfde foutmelding krijgen.
Dan is de 'temporary fix' functioneel.

Thalaron @Swurgin • 13 december 2016 08:34

Tnhx!

MrMarcie 12 december 2016 10:06

Netgear heeft eindelijk een reactie gegeven: http://kb.netgear.com/000036386/CVE-2016-582384

thijsvt 9 december 2016 22:51

Ik vraag me het volgende af.

Indien je de Netgear als acces point gebruik en bijv. een normale modem/router van KPN/Ziggo hebt zou je dan alsnog schadelijk zijn van buitenaf? Natuurlijk intern zou iemand nog steeds iets simpelweg kunnen uitvoeren op de router maar andersom?

HakanX @thijsvt • 10 december 2016 02:19

Ja je bent nog steeds kwetsbaar. Als één van je apparaten via de accespoint op welk manier dan ook de kwetsbare link heeft geladen, kan jouw accespoint vanaf dat moment voor andere doeleinden gebruikt worden door de kwaadwillende.

thijsvt @HakanX • 10 december 2016 10:13

Hmm ok dat is handig om te weten bedankt voor de info!

macnerd @thijsvt • 10 december 2016 02:59

Ik denk eigenlijk van wel. Stel je bezoekt als bezitter van zo'n Netgear router een site met zo'n malafide url ergens op de pagina. Jouw computer gaat via die url naar je Netgear en daarmee wordt de router besmet. Na de initiële besmetting zal de Netgear zelf url's opvragen met verdere instructies (ddos, minen van bitcoins, vul maar in). Omdat de router midden in je netwerk zelf zit en zelf contact zoekt, zal je KPN/Ziggo modem die router hetzelfde toestaan wat een gewone clients ook mogen. Meestal alles dus.

Kortom, heb je een Netgear, zet dan even die url in je hosts-file, met 127.0.0.1 of een ander veilig IP-adres. Dan kan je netwerk in ieder geval niet meer op de manier besmet raken.

thijsvt @macnerd • 10 december 2016 10:14

Zal er eens naar kijken als ik het tegen kom

bedankt!

macnerd @thijsvt • 10 december 2016 13:58

Wat anderen ook al genoemd hebben: de hosts-file aanpassen op smartphones en tablets kan best een uitdaging zijn als je geen root-access hebt. Helemaal waterdicht is het dus niet.

Anoniem: 608951 @macnerd • 12 december 2016 11:29

Deze oplossing (staat inmiddels ook in het artikel) is een stuk eenvoudiger, sneller, en effectiever: https://u.traiectum.net/ntgr

Omer @thijsvt • 10 december 2016 00:44

Ah, dat wilde ik juist gaan vragen (Ik gebruik mijn R7000 namelijk als access point, icm met een Ziggo modem/router)). Ik zie een 'Nvm' als reactie op je post. Ik weet niet wat dat betekent.

DerDee @Omer • 10 december 2016 02:30

Nevermind, dus laat maar. Hij heeft bovenstaande reacties gelezen en gezien dat een actie van buitenaf eigenlijk niet heel makkelijk mogelijk is.

Omer @DerDee • 10 december 2016 22:33

Thanx. Inmiddels zijn er reacties bijgekomen zie ik die zeggen dat er wel degelijk risico's zijn

pietervanhuizen @thijsvt • 9 december 2016 23:46

Nvm

[Reactie gewijzigd door pietervanhuizen op 23 juli 2024 07:36]

eamelink 9 december 2016 21:02

Het is niet zo ernstig als het bericht doet vermoeden; het is niet een remote attack die een aanvaller rechtstreeks van buitenaf op jouw router kan uitvoeren. De aanvaller moet jouw computer verleiden om een bepaalde request naar je router te doen. Daarvoor moet een machine binnen jouw netwerk bijvoorbeeld op een kwaadaardige website komen die die url opvraagt.

Joecatshoe @eamelink • 10 december 2016 00:55

Het is geen aanval van buitenaf, maar niet zo ernstig? Die requests naar de router zijn eenvoudige HTTP requests. Het enige dat je dus moet doen is een website opzetten met een iframe die verwijst naar het interne IP van de router met de code/commando's naar keuze en je bent binnen. In 99% van de gevallen zal dat het standaard IP zijn. Dan is het maar een kwestie van wat poorten open te zetten of een reverse tunnel op te zetten en je hebt zo toegang tot heel het netwerk van het slachtoffer. Een persoon op een link laten klikken is doodeenvoudig, of denk maar aan advertenties die automatisch laden in geval dat er geen adblocker wordt gebruikt.

En dat allemaal zonder exploit, zonder hacking, zonder malware, maar gewoon door een website te serveren die vlotjes door elke firewall en virusscanner doorgelaten wordt. Verstop dit ergens in een advertentie via een shady advertentienetwerk en je hebt op een paar dagen misschien honderden zo niet duizenden slachtoffers zonder veel moeite. Botnet, kom er maar in. Niet zo ernstig, noem je dat.

[Reactie gewijzigd door Joecatshoe op 23 juli 2024 07:36]

DerDee @Joecatshoe • 10 december 2016 02:23

Wat eamelink probeert te zeggen is dat niet iedereen zomaar gehackt kan worden. Als je op sites komt waar shady advertentienetwerken worden gebruikt, ben je toch zelf ook niet lekker bezig. Daarbij komt dat je router niet enige beveiliging is van je pc. Al heb je een open poort is dat niet zo dat een hacker zomaar even naar binnen komt wandelen. Dan moet je aan je PC kant toch mallware of bugs in OS o.i.d. hebben zitten.
Het is zeker niet wenselijk, maar zoals al eerder wordt gezegd: Ik ga mijn router nu niet direct afsluiten.

Dreamvoid @DerDee • 10 december 2016 09:48

Zelfs normale sites als nu.nl hebben shady advertenties geserveerd. En het gaat hier niet om de PC, die hoeft niet gehacked te worden. Als je blijkbaar niet snapt hoe deze exploit werkt, zou ik absoluut die router offline halen.

DerDee @Dreamvoid • 12 december 2016 10:37

Na de exploit te gebruiken heb je een poort die open staat o.i.d. Dat is nog niet zo'n ramp, er zit altijd nog beveiliging aan de pc kant als een firewall o.i.d.
"Blijkbaar" heb je geen idee wat de impact is op een site als deze wordt getrapt op malafide advertenties serveren. Zo heeft Nu.nl na de bewuste daad een enorme dip gehad in bezoekers. Bij Google wordt je volledig op alle mogelijke wijze uit het advertentie systeem verbannen. Niemand wil dit zeker geen betrouwbare site!
Ik heb router op ander ip draaien als standaard, dus wordt bij mij al erg lastig

macnerd @Joecatshoe • 10 december 2016 02:43

Een iframe is niet nodig, het kan iedere willekeurige tag zijn die een url opvraagt. Dus ook tag voor een afbeelding, een CSS-file, een JavaScript-file, een link (die dan wel weer aangeklikt moet worden), of een stuk inline JavaScript , de action van een form tag, maar ook event handlers zoals bv onLoad op de body tag of achter een knop. Alles wat een url opvraagt dus. Met of zonder interactie van de gebruiker.

Compleet met je eens dat dit gevaarlijk is. Zelf meteen even mijn hostfile aangepast, ik gebruik die speciale hostname van de router toch niet. Mocht ik dus een website bezoeken die die url opvraagt dan gaat ie simpelweg naar 127.0.0.1.

Dreamvoid @macnerd • 10 december 2016 09:51

Probleem is, dat is enkel jouw PC. Elke telefoon/tablet/etc op je interne netwerk is ook een risico.

macnerd @Dreamvoid • 10 december 2016 12:37

Daar heb je inderdaad een punt.

mrtnvnl @macnerd • 10 december 2016 09:59

Je hosts file aanpassen op een Ipad is nog best een uitdaging.

Overigens vind ik redirecten naar 127.0.0.1 nogal saai. Als je redirect naar een site die je noooit zou bezoeken, weet je meteen dat er een foute URL werd bezocht. Kan niet iemand een pagina met een counter hosten die iedereen als redirect kan instellen?

macnerd @mrtnvnl • 10 december 2016 13:54

Ik zat dan ook achter een laptop

Zonder root-access is het zeker een uitdaging op mobiele apparaten.

Ik ben er niet zo zeker van dat je het zo duidelijk zou zien als je redirect naar een site die je normaal nooit bezoekt. Ik verwacht niet dat zo'n url in een iframe komt, maar eerder in tags die je niet ziet, CSS, event handlers of JavaScript. Bovendien hebben de meeste (mannelijke) tweakers Disney.com al vaker gezien

Een counter is een grappig idee. Dat betekent wel een paar dingen. Het domein is geregistreerd door Netgear. Je zult dus de hosts-file moeten aanpassen of een alternatieve DNS opzetten/gebruiken. Bij een alternatieve DNS zal er gebruik gemaakt kunnen worden van name-based hosting, bij een aanpassing van de host-file niet. Bovendien, als jij die alternatieve DNS niet zelf hebt opgezet, zou je 'm dan vertrouwen?
Goed, de host-file is dus de simpelste en meest vertrouwde optie. Je hebt voor de counter dus IP-based hosting nodig. Die zijn al duurder, en los daarvan, hostingbedrijven zitten niet te wachten op veel verkeer op shared servers. Als er veel mensen die counter instellen en de aanval op veel (vaak-bezochte) websites staat, dan ziet het er al snel uit als een DDOS-attack wat betreft die hoster. Vandaar dus mijn keuze voor het saaie IP-adres. Maar je weet toch: there's no place like 127.0.0.1

Floort

@eamelink • 9 december 2016 21:05

Dat klinkt alsof het beperkt is tot elke website en elke advertentie die je in je browser te zien krijgt.

Op dit item kan niet meer gereageerd worden.

Ernstig lek in Netgear-routers laat aanvaller root-code uitvoeren - update

Lees meer

Reacties (144)

Sorteer op:

Weergave: