Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Tweaker publiceert tijdelijke oplossing voor kwetsbaarheid in Netgear-routers

Door , 128 reacties, submitter: sjvs

Tweaker 'sjvs' heeft op zijn eigen blog een work-around gepubliceerd waarmee kwetsbare Netgear-routers tijdelijk veilig kunnen worden gemaakt. Vrijdag bleek dat sommige modellen, waaronder de R7000 en R6400, kwetsbaar zijn voor command injection.

Op zijn blog schrijft sjvs dat zijn oplossing eruit bestaat het webserverproces van de routers uit te schakelen. Hierdoor is het niet meer mogelijk om gebruik te maken van de kwetsbaarheid, die een aanvaller in staat stelt om willekeurige rootcode uit te voeren. Netgear heeft zelf nog geen patch voor het lek uitgebracht. Deze work-around werkt totdat de router opnieuw wordt gestart. Dan start namelijk ook het webserverproces opnieuw. Het Amerikaanse Cert adviseerde vrijdag om de routers niet te gebruiken tot er een patch beschikbaar is.

In de blogpost wordt eveneens beschreven hoe gebruikers erachter kunnen komen of hun router kwetsbaar is. De originele waarschuwing meldde dat het R7000- en het R6400-model kwetsbaar zijn, maar dat ook andere modellen getroffen kunnen zijn. Zo bleek bij publicatie van het oorspronkelijke bericht dat een tweaker had vastgesteld dat zijn X6 R8000 ook het lek bevat. Netgear bevestigt deze bevinding in een security advisory.

De oplossing bestaat uit het bezoeken van de url http://xxx.xxx.xxx.xxx/cgi-bin/;killall$IFS'httpd', waarbij de x'en staan voor het ip-adres van de router op het eigen lokale netwerk. Dit is te vinden door bijvoorbeeld routerlogin.net te bezoeken.

Sander van Voorst

Nieuwsredacteur

12 december 2016 12:03

128 reacties

Submitter: sjvs

Linkedin Google+

Reacties (128)

Wijzig sortering
Het kan nog gemakkelijker, zonder IP adres van je router te weten.

http://www.routerlogin.net/cgi-bin/;killall$IFS'httpd
Dit maakt het voor aanvallers alleen maar makkelijker om te exploiteren. Dit is hoe cybercriminelen dit typisch zullen exploiteren.
  • Prepareer een advertentie dat linkt naar http://www.routerlogin.ne...-botnet-te-installeren>
  • Zet deze link als bron van een plaatje, iframe of andere resource in je advertentie. Zo hoeft een van je slachtoffers niet eens te klikken of je advertentie uberhaupt te zien, maar wordt ie al volledig onzichtbaar gepakt zodra de advertentie wordt ingeladen op de webpagina.
  • Koop advertentieruimte op populaire websites met dubieuze advertentiepraktijken, zoals nu.nl of tig anderen. Deze stap is een kleine investering.
  • Gebruik de duizenden routers die je hiermee infecteert om ofwel gericht op iemands internetbankieren in te breken, of verkoop simpelweg de de capaciteit van de router om te DDOS'en of voor andere botnetdoeleinden.
Dankzij de "truuk" van Netgear om 'routerlogin.net' te laten resolven naar je lokale router hoeven criminelen niet eens moeite te doen om het IP-adres van je router te achterhalen. Ach, en anders is 192.168.0.1 of 1.1 een veilige gok :)

Ik hoop dat het hiermee duidelijk is wat de impact van deze kwetsbaarheid is. Heb je een van deze routers? Voer deze fix alsjeblieft uit. Nee, een adblocker is niet genoeg bescherming, er zijn tig manieren om jouw browser requests uit te laten voeren die jij niet wil. Op je browser of add-ons ervoor moet je niet vertrouwen. Bovendien kan het op elke telefoon, computer, smart tv of whatever worden uitgevoerd die je in huis op je router hebt aangesloten - hoeveel controle heb je daar nou echt over?

[Reactie gewijzigd door DCK op 12 december 2016 13:28]

Het alternatief is natuurlijk een banner die requests doet naar de top 10 (of meer) meest populaire router-ip's, zoals de twee die jij al noemt.

routerlogin.net maakt het ietsjes makkelijker, maar meer ook niet. De echte kwetsbaarheid is in dit geval en combinatie tussen cross site request forgery en command injection. Dit zijn lekken die alleen in de firmware van de router zelf echt gefikst kunnen worden.
Met Umatrix of Request Policy ben je volgens mij redelijk beveiligd tegen XSS-aanvallen, mits je die add-ons op de whitelist-manier gebruikt (sowieso aan te raden).
Jij misschien wel, vele anderen niet. Elke fix anders dan de onderliggende command injection fiksen in de firmware (en liefst ook de csrf), is op z'n best symptoombestrijding.
Dat klopt, maar zonder een van de genoemde add-ons was je vˇˇr deze fix wel de pineut. En ook bij een volgende kwetsbaarheid, die ongetwijfeld wel weer in een stuk hardware of software zal komen.
Zet tijdelijk dd-wrt op de router en bij een fix terug flashen.
Het kan nog gemakkelijker, zonder IP adres van je router te weten.

http://www.routerlogin.net/cgi-bin/;killall$IFS'httpd
Had net jou link geprobeerd, maar bij mijn (R7000) werkte het niet. Volgens mij ben je een apostrof op het eind vergeten. Nadat ik dat erbij had gezet werkt de fix nu wel.

Werkende link: http://www.routerlogin.net/cgi-bin/;killall$IFS'httpd'

Oh ja en bedankt voor de (tijdelijke) fix @sjvs

[Reactie gewijzigd door IM4N op 12 december 2016 16:27]

Goed opletten, de tweakers.net link-detectie mist de laatste apostrof nog steeds in het klikbare gedeelte van de link.

Hier een complete: http://www.routerlogin.ne...i-bin/;killall$IFS'httpd'
(niet getest, ik heb geen netgear)
dat schreef hij ook op zn blog.
Wherever I write [router-address] in an URL, you should replace that with the actual address of your router. For many people the magic word routerlogin.net will work. If that doesn’t work: it’s typically that’s something like 192.168.0.1. If you’re on Mac or Linux, you can find this out by typing ‘route -n’ in a console (terminal) window. That will show you a table ‐ look for the value in the Gateway column that belongs to Destination 0.0.0.0
Goed gevonden maar ik kom terecht op
https://www.netgear.com/h...tworking/routerlogin.aspx

Heb trouwens een sitecom router... Mogelijk werkt die URL dus niet altijd zoals verwacht.
(Het nieuwsstukje gaat over Netgear maar ik dacht dat 'www.routerlogin.net' een multipurpose rol had in dat het automagisch je router IP/gateway achterhaald oid)

[Reactie gewijzigd door new.hope op 12 december 2016 13:09]

Nee, dat zal niet, dan zou je router altijd direct vanaf internet benaderbaar moeten zijn (en gezien de problemen zit je daar helemaal niet op te wachten). De router zelf zal de url (als het als dns functioneert) of het ip afvangen en zelf antwoord geven zonder het internet adres www.routerlogin.net te benaderen (je hebt dus ook geen internetverbinding nodig om de router te kunnen benaderen).
Het is inderdaad een Netgear-dingetje, al zou het prima kunnen dat andere fabrikanten iets doen dat vergelijkbaar is.

Dit trucje werkt omdat de Netgear-router bij normaal gebruik ook als dns-server gebruikt wordt voor het lokale netwerk. Deze dns-server is ingesteld om zijn eigen ip-adres terug te geven zodra iemand routerlogin.net wil bezoeken (en stuurt overige dns-verzoeken door naar de dns-server die de provider opgeeft).
routerlogin.net is een DNS die door je eigen router ingevuld wordt met zijn (interne) IP. Als je die link van achter een netgear router uitvoert dan komt hij uit bij je eigen router.
routerlogin.net is een service van Netgear. Geen standaard die voor alle routers van toepassing is. Enkel een Netgear router zal dus dit domein in zijn lokale DNS gaan definieren. Je kan er natuurlijk altijd zelf gebruikt van maken als je de DNS entries op je router kan gaan aanpassen.

Vrij logisch dus dat Netgear dit domeinnaam geregistreerd heeft voor iedereen die geen netgear router heeft. Zo kom je niet in een zwart gat terrecht.

Leuke feature, hoewel niet geheel kosjer om publieke domeinnamen lokaal anders te gaan verwijzen.
Deze feature is al jaren oud.
Lokal dns server route de boel gewoon netjes door. Dit wordt ook gebruikt door veel domotica apparatuur.

Thomson (Speedtouch modemrouters voor ADSL) deed dit jaren terug al met speedtouch.lan. In de tijd dat custom TLDs nog niet beschikbaar waren was dit ewn mooie oplossing die geen gevolgen had voor de rest van het internet.

Netgear lost dit nu mooi op door een landing page te registreren op het domein zodat er inderdaad geen zwart gat valt op het net en om te voorkomen dat netgear gebruikers nooit op de echte site kunnen komen als deze wel geregistreerd zou worden.
Cert noemt dit nu al als workaround, met een nette bronvermelding.

http://www.kb.cert.org/vuls/id/582384
De lijst van kwetsbare routers is gegroeid (bevestigd door Netgear):
•R6250
•R6400
•R6700
•R7000
•R7100LG
•R7300
•R7900
•R8000

Er is een beta firmware beschikbaar gesteld voor de R6400, R7000 en R8000. Beta firmwares voor de overige modellen volgen z.s.m.

[Reactie gewijzigd door shaswin op 13 december 2016 07:33]

Vanochtend is er een eerste beta firmware update gekomen welke je kunt vinden op http://kb.netgear.com/000036386/CVE-2016-582384
of je installeert dd-wrt. Ben je meteen helemaal klaar.
Bij deze de firmware opties voor de Netgear R7000:
- AdvancedTomato 3.4.138 (05-12-2016)
- DD-WRT "Kong Mod" 309010 (02-12-2016)
- DD-WRT Plain / "BrainSlayer Mod" 30880 (14-11-2016)
- Asuswrt-Merlin / Xwrt-Vortex 380.63.2 (12-11-2016)
- Tomato by Shibby 138 (02-08-2016)
- Netgear Stock Firmware 1.0.7.2 (02-08-2016)
- OpenWrt 15.05.1 (15-03-2016) of Daily Builds (untested)
- LEDE Project (OpenWrt Fork) Daily Builds Only

Tomato en Asus Merlin hebben originele drivers voor de BCM53xx van Broadcom, waar OpenWrt en DD-WRT het doen met een eigen universele driver. Dat is waarschijnlijk de reden dat eerstgenoemde als meer stabiel worden ingeschat door veel gebruikers op het Internet. Ook kunnen OpenWrt en DD-WRT geen hoge throughput aan op de WAN poort doordat ze geen hardwarematige NAT versnelling hebben, enkel software. Ik dacht dat je bij 200Mbit+ beter niet voor deze kon gaan.

XVortex wordt voor de R7000 het meest geroemd op de Internet fora maar aangezien ik daar maar 100/15 Mbit van mijn 150/15 haal, die ik met de stock firmware wel gewoon haal, ga ik ook even kijken bij Tomato.

Moet wel zeggen dat XVortex zeer eenvoudig installeert. Simpelweg het bestand flashen via de web interface update optie van de stock firmware en klaar. Dat is in 3 minuten gepiept. Daarna vind XVortex automatisch wat voor soort Internet je op je WAN poort hebt (in mijn geval Ziggo router in bridge modus), WiFi opnieuw instellen en in totaal 5 minuten ben je weer online.

[Reactie gewijzigd door Malarky op 13 december 2016 17:44]

Ben wel ge´nteresseerd in Xwrt-vortex, maar wat ik me dan weer afvraag; hoe veilig is zoiets? Denk aan backdoors of spyware van onze russische vrienden?

[Reactie gewijzigd door Gronaldo op 12 december 2016 15:15]

Ik ben daar ook wat huiverig voor. Toch maar voor dd-wrt gekozen.
Ik gebruik DD-WRT (Kong) op onze R7000 maar wil graag Xwrt-Vortex gaan testen vanwege de gestelde betere through-put. Wat ik me alleen afvraag of die firmware ook KPN Ip-TV kan verwerken? De R7000 met DD-WRT vervangt namelijk bij ons de KPN Experia box.
Of AdvancedTomato! https://advancedtomato.com/ Deze draai ik nu. Erg handige interface die er goed uit ziet met veel instellingen en erg stabiel.
Naar aanleiding van het eerste artikel over de kwetsbaarheid hier op tweakers ben meteen opzoek gegaan naar alternatieve firmware voor mijn R7000, hierbij ben ik uitgekomen op advanced tomato. Het was echt in 10min. erop gezet en wat een zegen is het!

Dit had ik veel eerder moeten doen, de interface is heerlijk snappy en modern in tegenstelling tot de oude 1990 en vooral zeer trage netgear interface. Ook heb je veel meer opties wat betreft instellen, of het nu om wifi antenne settings gaat, OpenVPN, MediaServer funcities, Guest login al dan niet met geserveerde pagina, dyndns of gewoon verbruik van apparaten monitoren.

Daarnaast blijkt het ook nog een tikkie sneller te gaan (vooraf en achteraf een speedtest uitgevoerd) waarbij ik ongeveer 10mbit down (van 144 naar 155) en 1mbit up (14 naar 15) erbij heb gekregen.

Over stabiliteit kan ik nog weinig reppen, aangezien het pas een 2 dagen draait, maar nul problemen zover.

Echt een verademing en ben blij dat ik getriggerd ben over te stappen. :)
Maar wel eerst even aan mij komen vragen of ik een UART - USB bridge heb, voor moest het mislopen :+
of je installeert dd-wrt. Ben je meteen helemaal klaar.
Ik ben zeer te spreken over OpenWRT!
Mijn oude, vertrouwde WNDR3700v2 blijkt dat niet te lusten.
Pogingen om er dd-wrt maar ook OpenWRT op te flashen, resulteren in een niet meer reagerende router (alleen de LEDs van de 4 poorten gaan om de zoveel seconden aan en weer uit).
Gelukkig nog via tftp (na een herstart is er een tijdsinterval van een paar seconde waarin de router nog wÚl 'luistert' naar 192.168.1.1) de Netgear firmware kunnen terugflashen.
Geen idee wat er misgaat. Alles netjes volgens de geadviseerde stappen (dus incl. 30/30/30-reset).
Vreemd, ik heb exact dezelfde router gehad (tot op 'v2' nauwkeurig) en daar werkte dd-wrt prima op. OpenWRT heb ik er nooit op geprobeerd.
Ik weet wel dat het ooit mislukte toen ik eigenwijs was en niet exact de wachttijden aanhield om knoppen ingedrukt te houden en dergelijke. Dus misschien dat je net zo eigenwijs bent? ;)
Haha! Enig gevolg van eigenwijsheid heb ik zelfs nog geprobeerd te minimaliseren door nog wat extra wachttijd aan te houden; '40/40/40' toegepast en na flashen eerst een hapje gaan eten.
Maar ja, nu weet ik ineens van het bestaan af van: 'arp', 'netsh' en 'tftp' dus in elk geval iets geleerd :)
Bij mij werkte het ook goed, v2 is de europe version.
Mooi, de kwetsbaarheid (het uivoeren van willekeurige code) gebruiken om de kwetsbaarheid te fixen! Zo simpel kan het zijn. Dat httpd enkel weer opgestart kan worden na een reset is natuurlijk niet ideaal, maar dit lijkt me een prima workaround (zo vaak heb je de web interface niet nodig).
Of er voor zorgen dat de http poort niet wagenwijd naar buiten toe open is. Lijkt mij in ieder geval een stuk veiliger. ;)
HTTP staat alleen van binnen uit open, dat is niet het probleem. De truc is de browser van het slachtoffer het werk te laten doen via een verwijzing naar zijn router via een handig geformuleerde URL in, bijvoorbeeld, een IMG-tag.
Ik begrijp niet waarom de webinterface voor configuratie Řberhaupt 24/7 beschikbaar moet zijn?

Het zou chiquer zijn als er een aan/uit knop op de router is om die webinterface aan of uit te zetten. In veel gevallen als Jan met de Pet zijn router configureert is die toch thuis om Řberhaupt op het netwerk van de router te komen.
Op zich is er niets mis mee. De interface moet alleen niet aan de WAN kant toegankelijk zijn. Dan blijven alleen nog potentiŰle drive-by aanvallen over indien je onbeschermde Wi-Fi hebt.
Op zich is er niets mis mee. De interface moet alleen niet aan de WAN kant toegankelijk zijn.
Die interface is niet aan de WAN kant toegankelijk, de attack-vector loopt via je browser, dus LAN.
Ik heb op die Netgear gezocht, maar kan nergens vinden hoe je de Interface op de WAN uitschakeld. Enlighten me?
De interface staat standaard uit op de WAN. De optie om de interface daarop uit te schakelen is er dus niet, wel is er een optie (met waarschuwing) om de interface in te schakelen.
Ah. Je hebt gelijk. Ik ben in de war met draadloze toegang. Ik zou graag m'n beheer interface alleen toegankelijk hebben voor bedrade apparaten binnen mijn netwerk.
En ook dat helpt dus niet tegen deze kwetsbaarheid...
Dat klopt, maar dat is wel een optie die ik graag zou willen hebben (vandaar dat ik op Freee!! reageerde).
Dan zou je een subnet op moeten zetten voor je draadloze verkeer met een eigen DNS server. Alle requests naar deze pagina kan je dan lozen daarvandaan. Alleen moet je dan een extra router hebben die het draadloze gedeelte regelt met hetzelfde probleem als je daar ook een entgear achter hangt.
Aardige workaround, maar ook een schijnveiligheid.
Zoals andere al zeggen, bij een reboot komt de interface weer terug.
Dus ook bij een korte stroom onderbreking, midden in de nacht. Welke je meestal niet opmerkt.
Je hebt helemaal gelijk, en dat staat ook heel duidelijk in mijn artikel vermeld. Ik had helaas geen vervanging klaarliggen voor mijn router, dus beter dit dan niets!
Kan je niet gewoon toegang tot de web server blokkeren in de firewall?
Als je het voor elkaar krijgt om met een firewall je hele lokale netwerk de toegang tot je router te ontzeggen, dan is dat inderdaad ook een oplossing. Een uitdrukking over het kind weggooien met het badwater comes to mind... ;)

Maar alle gekheid op een stokje: als je weet wat je doet, dan kun je in de meeste Netgear routers in de advanced settings een guest VLAN instellen. Apparaten in dat VLAN kun je toegang geven tot het WAN, maar tegelijkertijd de toegang tot de router (en de lekkende beheerdersinterface) ontzeggen. Dus als je vervolgens al je apparaten in dat VLAN plaatst dan ben je ook klaar. Echter, je zult een apparaat buiten dat VLAN moeten laten om nog bij je instellingen te kunnen komen.
Was geen kritiek op jou.
Wilde alleen opmerken dat stroom storingen van een paar minuten wel eens voorkomen.

Simpele oplossing hiervoor zou een cronjon of zoiets gelijks voor windows te gebruiken, met jouw url. En dan elk uur te laten uitvoeren.
Waarom niet elke minuut? ;)
Kan je doormiddel van deze exploit niet een cronjob op de router zelf implementeren?

Dus zelf een service bouwen en registreren en deze vervolgens bij boot uitvoeren.
Bedankt sjvs!

Thuis meteen maar uitvoeren :) Overigens vrij ernstig dat Netgear vooralsnog geen fix voor deze kwetsbaarheid heeft uitgebracht.

[Reactie gewijzigd door Falzer op 12 december 2016 12:10]

Zo'n fix moet natuurlijk wel degelijk getest worden..
Works For Me
Er is ondertussen een beta-firmware.

https://t.co/KbzgIJZOSY
Bij mij zit de (reguliere) webinterface achter een userid+paswoord. Werkt deURL http://[router-address]/cgi-bin/;uname$IFS-a zonder die authentication?
Tx! Ik huiver al bij de gedachte van een nieuwe firmware voor de R7000 die ze inderhaast zouden uitbrengen om dit te fixen. Bijna alle voorgaande firmwares van Netgear zijn zo ongelooflijk slecht. En dan telkens de vereiste om eerst een reset te doen, dan de firmware te flashen en dan manueel alle settings terug inbrengen. 8)7

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*