Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 73 reacties
Submitter: Tasz

Netgear heeft voor zijn R6400-, R7000- en R8000-routers definitieve firmware-updates uitgebracht die de recent ontdekte kritieke kwetsbaarheid verhelpen. Voor acht andere routers is een bŔtaversie van de patch beschikbaar.

Netgear Nighthawk AC1900 Smart WiFi Router (R7000)In navolging van het uitbrengen van tijdelijke patches, heeft Netgear nu definitieve firmware-updates voor de R6400-, R7000- en R8000-modellen beschikbaar gesteld. Netgear raadt gebruikers van de routers aan om de updates te installeren, ook als zij eerder al de bètafirmware hebben geïnstalleerd.

Voor acht andere kwetsbare routers zijn tijdelijke firmware-updates beschikbaar. Netgear zegt nog niet wanneer deze modellen een definitieve update krijgen, maar dat zal volgens de fabrikant 'zo snel mogelijk'  zijn. Gebruikers van de R6250, R6700, R6900, R7100LG, R7300DST, R7900, D6220 of D6400 kunnen tot die tijd de bèta downloaden en installeren.

De ernstige kwetsbaarheid in de routersoftware laat een aanvaller willekeurige rootcode op de apparaten uitvoeren, bijvoorbeeld door een slachtoffer een kwaadaardige site te laten bezoeken. Enkele dagen na de publicatie publiceerde tweaker sjvs een workaround die het webserverproces op de routers uitschakelt, zodat deze niet meer kwetsbaar zijn.

Moderatie-faq Wijzig weergave

Reacties (73)

Ok, na het lezen van voldoende success-stories in deze thread, heb ik m'n R7000 tˇch maar ge-upgrade. Via de webinterface. Ging zonder problemen.

Ik kom van v.1.0.4.30_1.1.67. Ik gebruik de R7000 als Access Point. Paar vraagjes:

Als ik de nieuwe UI met de oude vergelijk, zie ik enkele verschillen:

1. "Advanced" tab -> Security -> Access Control: Ik heb met de nieuwe firmware gÚÚn toegang meer tot "Access Control" (Optie is disabled). Voorheen wÚl, en ik had Access Control ook opgezet (Stond ingesteld op "Block all new devices from connecting"). Iemand enig idee waarom ik er nu niet meer bij kan? Kan iemand er nog WEL bij met de nieuwe firmware?

===============
UPDATE: Wow, als ik er op Google vind ik dit:
https://community.netgear.com/t5/Nighthawk-WiFi-Routers/R7000-new-Firmware-disables-Access-Control/td-p/1151298

Ok, de Access Control optie in AP mode is er dus blijkbaar bewust uit verwijderd door Netgear. Maar dat is nog niet t enige:

Gebruiker Maxtest schrijft op ‎2016-12-14 02:47 PM:

"Anyway this bug in the firmware isn't just taking away a feature. It is still enabled and blocking new connections. I cannot add any more wireless devices because it is still blocking new connections and the place to turn off access control is now grayed out.".

Dus als ik t goed begrijp: Als je Access Control aan had staan, dan kun je er voortaan niet meer bij, maar het is nog WEL actief, en je kunt daardoor geen nieuwe devices meer koppelen als je -zoals ik- "Block all new devices from connecting" had ingesteld. Nou, lekker dan!
==============

2. "Advanced" tab -> Advanced Home -> Wireless Settings (2.4GHz) -> Channel: Voorheen: "4"; Nu: "4(P)+8(S)". Iemand enig idee wat dit laatste betekent? Iets met Primary en Secondary gok ik?

3. "Advanced" tab -> Setup -> Wireless Setup:

a. Nieuwe optie erbij gekomen: "Enable Smart Connect - Let the router intelligently select the best WiFi band 2.4 GHz or 5 GHz for your WiFi connections. Smart Connect requires the 2.4 GHz and 5 GHz networks to use the same WiFi network name (SSID), security options and password.". Aanzetten of juist niet?

b. Nieuwe optie erbij gekomen: "Transmit Power Control": Staat op 100% (bij zowel 2.4 als 5 GHz). Wanneer zou je dit willen aanpassen (verlagen)?

[Reactie gewijzigd door Omer op 18 december 2016 16:53]

Ben niet bekend met deze router(s), maar het zal wel voor het extended kanaal zijn. Dit wordt gebruikt om zo meer snelheid te pushen door het bundelen van meerdere kanalen (simpel gezegd).

Smart connect zou wel gewoon hetzelfde SSID gebruiken en vervolgens de telefoon (of ander device) verbinding laten maken op deze. Volgensmij nemen de meeste dan 5Ghz omdat het te druk is op 2.4Ghz, of andersom als de 5Ghz niet genoeg bereikt heeft/niet ondersteunen. Al-met-al niet perse goed of slecht, al houd ik ze liever gescheiden.

Weetniet waarvoor die laatste staat maar gok Tx-power, oftewel de hoeveelheid dB dat wordt gebruikt voor de Wifi. Hoe hoger hoe meer bereik, maar gaat wel ten koste van stabiliteit door 'meer ruis' en warmte voor chipset. Soms wil je dit verlagen als je bijvoorbeeld meerdere AP's kort bij elkaar hebt staan of je simpelweg meer stabiliteit nodig hebt ten koste van afstand.

Vreemd dat je die opties voorheen niet had, maar daarom heb ik liever dd-wrt, al is deze ook niet perfect.

[Reactie gewijzigd door archie2012 op 18 december 2016 22:51]

Thanx voor je antwoorden.
Juuuup super bedankt na deze update is mijn R7000 router bricked _/-\o_ krijg alleen nog maar een witte knipperende power knop heb alles zowat geprobeerd met tools maar heeft helaas niks verholpen, mijn garantie is over dus ben dus genaaid door deze firmware update 8)7

heb vanochtend om 7 uur ge´nstalleerd maar nu zo veel uur later heb ik het nog niet gefix??

IK BEN NIET DE ENIGE DUS MENSEN PAS OP MET DEZE FIRMWARE UPDATE!!

https://community.netgear...ware/m-p/1190479#U1190479

[Reactie gewijzigd door davi79 op 18 december 2016 12:56]

Als je toevallig een Arduino hebt, kan misschien dit helpen.
http://www.instructables....as-a-FTDI-Progr/?ALLSTEPS

En wat heeft garantie hiermee te maken? Ik neem aan dat je de correcte officiele firmware van netgear hebt gebruikt, voor de juiste device. Dan kan je netgear toch aansprakelijk stellen?

Zij leveren een update, die JIJ wel moet installeren, om een beetje veilig te zijn.
Ik heb de update uitgevoerd via de router pagina zelf, zoals ik dat al 2 jaar doe! ik heb de blauwe laad balk naar 20 minuten helemaal laten laden, nadat hij de pagina automatisch ging refreshen, zag ik recht onder in de hoek mijn lan icon een uitroep teken staan, heb toen probleem oplossing over gehaald, die gaf aan dat ik geen verbinding had, toen ben ik naar mijn router gelopen en zag alleen een witte power knop knipperen, kwam ook niet meer op de 192.168.1.1 pagina, heb toen geprobeerd een reset knop volgens boekje uitgevoerd, maar toen deed hij al niks meer alleen witte knipperden power knop?

Tot zo ver ben ik gekomen meer doet hij niet meer helaas probeer nog de optie hierboven als ik de kabel binnen krijg, wordt vervolgt!
Wat ik meestal doe, als ik mijn router heb gesloopt.
Is een tftpd server aanzetten op mijn PC. En alleen mijn PC met de router verbinden.

Om vervolgens, je laatste werkende firmware weer terug te zetten.

Ik heb nog nooit een extra kabel hoeven te gebruiken.
https://wiki.openwrt.org/doc/howto/generic.flashing.tftp
Doe je zelf een plezier, stap af van de officiele firmwares, aan gezien deze toch alleen maar ellende blijven geven.

Zelf heb ik tegenwoordig pfsense op een lichte PC, met daar achter een Access Point met een variant van openwrt.
Als je dit kan en wilt beheren :)
Precies dit. Heeft mij ook vaak uit een soft bricked ddwrt install weten te redden.
Dus als jij je Windows o.i.d. sloopt verwacht je aanspraak te kunnen maken op je computer/laptop garantie? lol. Het is en blijft je eigen keus.

[Reactie gewijzigd door Marctraider op 19 december 2016 00:08]

Dit is meer als: Update voor de ECU van m'n tien jaar oude auto, na de update start hij niet meer. Dat is wel anders.
Hier de firmware zonder problemen op 2 R7000's een R8000 ge´nstalleerd. Zonder enige problemen.
Hier ook geen problemen op de r7000

Heb hem wel herstart voor de update. Dit omdat ik de webintreface had disabled. Dit was tot nu toe de workaround om het lek tegen te gaan.

Misschien heeft dit er iets mee te maken dat het bij mij wel gelukt is

[Reactie gewijzigd door Tasz op 18 december 2016 16:26]

Ik heb de workaround niet gebruikt. Gewoon zonder enige maatregel ge´nstalleerd. En in 1x goed gelukt.
Hier ook zonder problemen geŘpgraded. Alle instellingen ook nog zoals ze waren :)
Wel zuur als je upgrade mislukt.
Kan je in jeder geval meer geroot/gehacked worden...

Sorry, couldn't resist :)
Heb je het firmware gedownload via hun site of vanuit web interface? :)

Ik ga het wel gewoon proberen en gaat het fout, dan heb je een recht op garantie lijkt mij

[Reactie gewijzigd door michaell958 op 18 december 2016 14:50]

geen probleem hier.... , gewoon via web interface gecontroleerd en geupdate .
Interface lijkt trouwens ook wat sneller nu !!
Heb je indicatie dat er meer dan twee gevallen zijn?
Protip: nooit routers updaten wanneer de winkels dicht zijn. :P
Zo! En ik wilde nÚt de vraag gaan posten: "Iemand de update al ge´nstalleerd op zijn R7000?".

Mooi klote dan. En nu?

[Reactie gewijzigd door Omer op 18 december 2016 13:10]

Bij mij werkt het gewoon op mijn R7000. Updaten vanuit de webinterface, en niet los gedownload zoals ze zelf aanbevelen. En natuurlijk niet via wifi maar bekabeld...just saying. Zelfs de settings zijn gebleven. Dus ik heb niks aan hoeven passen.
Vraag me dan af wat jij anders gedaan hebt.

[Reactie gewijzigd door zoef40 op 18 december 2016 14:56]

Dank. Ik heb t zelf nog niet gedaan. Wat betreft "bekabeld": Ik gebruik de R7000 als AP. Weet ff niet hoe ik dat dan precies moet doen? Mijn pc is wel via kabel verbonden met m'n Ziggo modem/router, en er loopt natuurlijk een kabel van modem/router kastje naar de R7000.

Update: Heb m inmiddels ˇˇk succesvol weten te upgraden, vanuit webinterface (zie verder naar beneden in deze thread).

[Reactie gewijzigd door Omer op 18 december 2016 15:53]

Mooi klote dan. En nu?
Firmware herstellen via de interne seriŰle consolepoort.

Anders hopen op coulance vanuit Netgear.
Hier zojuist laatste firmware ge´nstalleerd en de router werkt gewoon nog, ben wel eerst uit de beta versie gegaan de vorige originele firmware (1.0.7.2)

Gelukkig nog even gewacht met het verkopen van deze router, voor een all in one oplossing is dit een erg mooie router! Goed werk van Netgear! hebben ze snel opgelost! :)

[Reactie gewijzigd door michaell958 op 19 december 2016 18:28]

Op zich netjes dat ze snel actie hebben ondernomen en bug hebben opgelost. De vraag is natuurlijk wie deze enorme blunder in de software heeft gemaakt. Zover ik weet wordt de software de laatste tijd uitbesteed aan goedkope medewerkers in India. Ik ben benieuwd of dat nu ook is gebeurd. Het grootste probleem van zo lek in een router is dat er altijd routers op het internet staan die nooit worden bijgewerkt. Eigenlijk zou de overheid een oproep moeten doen om alle routers van dit type merk in te leveren of bij te werken. Ook na zo ompoten heb je nog altijd een aantal mensen die hun router niet bijwerken, maar het aantal is dan stuk kleiner.
Alles valt of staat met softwaretesten. Je kunt proberen alles voor te zijn, maar nieuwe kraaktechnieken kun je niet voorkomen. 't Blijft een kat-en-muisspel.
Je kan zoveel software tests schrijven als je wilt, als bij het deployen iemand een instelling verkeerd zet haalt het allemaal niet uit...
(Wat niet wegneemt dat men dit in production misschien wel had mogen opmerken)
Dan heb je toch niet goed getest als dat mogelijk is. Wat er in te stellen is staat in de product- en design requirements. En dat is de basis van de test object list. Als er functionaliteit mogelijk is die niet in de requirements staat heeft een bedrijf een groot probleem want dan deugt het product management- en design proces niet.
Alleen was dit geen nieuwe kraaktechniek, maar eentje uit het jaar kruik (relatief gesproken).
Netjes? De beveiligingsonderzoeker die het lek heeft gevonden, heeft het al in augustus gemeld, maar Netgear heeft niets van zich laten horen. Pas nadat het openbaar is gemaakt, hebben ze actie ondernomen.. niet echt een betrouwbare partij, Netgear.
Het woord netjes vind ik niet op zijn plaats, om het volgende.

Het schort bij Netgear aan een fatsoenlijk security patch beleid.
Dit is niet het eerste grote lek dat in de firmware van deze fabrikant zit. Dit lekken komen er niet in omdat ze zo goed weten hoe je veilig moet programmeren en omdat er een hele goede testafdeling is.
Netgear staat niet heel open voor het ontvangen van bugmeldingen en security bugs.
Netgear heeft geen proces om security bugs binnen een bepaalde tijd te verhelpen en laten ook aan melders niet weten of en hoe snel ze een groot lek verhelpen.
Netgear komt pas met firmware updates als een lek als deze na vele maanden publiek wordt gemaakt door een gerenomeerd CERT omdat netgear miljoenen klanten maanden met het lek liet zitten en de klanten ook niet op de hoogte stelde. En toen bleek het binnen een paar weken opgelost en uitgerold te kunnen worden door netgear.

Ik zou het pas netjes noemen als netgear wel een fatsoenlijk patchbeleid had, haar processen daarop inricht, actief reageert op melders en realistische inschattingen maakt en communiceert met de melders over het oplossen van lekken met een groot risico.

Veel tijd en geld investeren in het oplossen van een firmware lek pas als je als bedrijf je imago ziet verdampen is niet moeilijk en het woord netjes niet waardig.
Heb dan weer een hele andere ervaring met Netgear die zeer uitgebreide support leverden op een wifi systeem wat al jaren buiten garantie was, uiteindelijk een custom firmware voor mijn specifieke probleem gemaakt welke het probleem opgelost heeft.
Kwa klantvriendelijkheid een top bedrijf.
Oftewel, "Responsible Disclosure" :)
zit er ondertussen een automatisch update systeem in de huidige modellen routers ?

Kan me voorstellen dat een hoop mensen niet gaan beginnen aan het updaten van de firmware.
Er zijn inmiddels zeker wel routers te koop die auto-update doen:

B.v. de Turris Omnia Router, die draait een aangepaste openwrt welke automatische updates
heeft.
Deze router is ontwikkeld door CZ.NIC (tld verantwoordelijke voor .CZ domeinen) als opensource project voor een veiliger thuisnetwerk.

Maar naar alle waarschijnlijkheid zullen de grote fabrikanten van consumer Routers (belkin, netgear, asus) hier ook niet al te lang meer mee wachten. Dit probleem wordt anders n.l. alleen maar groter.

En dan uiteindelijk nog de vraag wie verantwoordelijk is voor vervolgschade indien jouw router misbruikt voor een aanval omdat hij niet gepatcht is !
Ben bang dat de consument weer aan het korste eind gaat trekken.
Maar naar alle waarschijnlijkheid zullen de grote fabrikanten van consumer Routers (belkin, netgear, asus) hier ook niet al te lang meer mee wachten.
Asus levert al tijden automatische updates voor zijn routers.

[Reactie gewijzigd door hcQd op 18 december 2016 11:33]

Maar dat moet je dan volgens mij nog wel apart aanzetten !
Of werkt dit out-of-the-box ? Anders heeft het nog steeds geen zin.
Dat durf ik niet te zeggen, ik heb er direct Merlin op gezet.
Maar naar alle waarschijnlijkheid zullen de grote fabrikanten van consumer Routers (belkin, netgear, asus) hier ook niet al te lang meer mee wachten.
Laten we hopen dat Netgear dan wel eerst hun releases beter gaat testen. Zelf een WNDR3700 gehad, elke keer als ik erin zat en er een melding was van updates beschikbaar deed ik deze natuurlijk netjes installeren. Totdat ik op een gegeven moment erachter kwam dat er helemaal niks werd geupdate (maar wel de melding). Na even Googlen bleek dat ik intussen op een firmware versie zat die enorm buggy was en bij de meeste gebruikers ook enorm onstabiel. Een van de bugs bleek dan ook nog eens te zijn dat het updaten van de firmware niet meer werkte. Enige optie om hem weer goed aan de praat te kunnen krijgen was hem zelf flashen vanuit de recovery mode. Dus toen heb ik maar besloten om geen Netgear meer te kopen en de router vervangen.
Niet op de R7000 in elk geval, in dit geval zou dat zÚÚr welkom zijn, maar het kan ook een hoop stuk maken als er een buggy release tussen zit.

ikzelf heb het in elk geval uit staat op m'n synology, die heeft die functionaliteit wel.
Heb net de update uitgevoerd. Heb geen problemen gehad. Was binnen 3 minuutjes klaar.

(Heb de update van de website gehaald en via een bekabelde computer ge´nstalleerd)
Welk model Netgear heb je?
Zeer nette afhandeling van Netgear, had ook niet anders van hun verwacht.
Nounou, dat is sarcastisch neem ik aan? Iedereen die ook maar iets gevolgd heeft van de vele bugs in trage updates op hun topmodellen weet dat Netgear hun software wel op een heel laag pitje heeft staan.

Ook nu heeft het vanaf augustus tot nu geduurd voordat een mega amateurisch lek was gedicht.

Daarvoor al het deblacle dat Netgear aanraade terug te gaan naar een oude versie en haar tienduizen gebruikers maanden liet wachten.

Ik ben blij dat hun R-modellen veel verkocht zijn en dus goede custom firmware ondersteuning hebben.

En uiteraard ook nu weer geen geregistreerde klanten op de hoogte gebracht van deze bug. Moet je maar lezen via een nieuwssite.

Belabberd amateuristisch bedrijf dat Netgear. Onder Nederlands privacy recht mbt ACM en data lekken hadden ze allang een forse draai om hun oren gehad.

[Reactie gewijzigd door Malarky op 18 december 2016 16:40]

Zit de kwetsbaarheid niet in de R6300? Dit is namelijk de voorloper op R6400.
Dat vroeg ik me dus ook af, maar de laatste update is van 28/11 en nergens wordt de router vermeld.
Het lukt mij niet de kwetsbaarheid te misbruiken vanuit het LAN dus nee, de R6400 is niet 'besmet'.
- de Access Control optie staat hier aan en is dus niet greyed out. Het verschil is dat ik de entries die ik daar heb staan op "allow" heb staan i.p.v. "block". Ik vermoed dat het te maken heeft met het feit dat jij de R7000 als AP gebruikt. Alleen als router is die functie beschikbaar.
- wireless settings 2.4 kanaal 4 +8. Dan heb je overlap. Gebruik alleen kanaal 1 of 6 of 12.
- Smart Connect staat hier uit omdat ik 2 verschillende SSID's hanteer voor mijn 2.4 en 5Ghz, en dan werkt het niet. Als jij wel dezelfde SSID's gebruikt kan je het eens proberen :P
- transmit power laat ik gewoon op 100% staan. Ik heb dan alleen achter in de tuin in een hoek geen wifi, en dat komt omdat ik dan buiten de line-of-sight sta van mijn R7000 antennes

[Reactie gewijzigd door zoef40 op 18 december 2016 17:39]

Thanx.

- Access Control: Klopt, speelt allÚÚn bij AP (Vandaar dat ik t er expliciet bij had gezet dat ik m als AP gebruik).

- Kanaal 4+8: Wat ik bedoelde is dat ik m niet zelf zo heb ingesteld (Stond op 4 vˇˇr de upgrade). Overlap 4-8 is overigens minimaal zie ik als ik Google op 'wifi 2.4 channels', dus ik laat t voorlopig lekker zo. Hey, hij staat nu trouwens ineens weer vanzelf op 4 zie ik. Na ja.

- Yup, ik gebruik dezelfde SSID's. Ok, ik zal t eens aanzetten (Al zie ik onder 'Attached devices' dat ie zo te zien nu ˇˇk al slim genoeg is om dat onderscheid te maken: Ca. de helft van mijn devices is via 2.4 GHz verbonden, de andere helft via 5 GHz). PS: Waarom heb je twee verschillende SSID's? Om zeker te zijn dat bepaalde apparaten via x GHz connecten of zo?

- TP blijft bij mij dus lekker op 100% staan :)

[Reactie gewijzigd door Omer op 18 december 2016 17:56]

Ik heb de verschillende SSID's omdat ik dat makkelijker vindt. Gewoon persoonlijke voorkeur dus. Ik ga dat smart connect ook eens testen en vergelijken met mijn voorkeursinstellingen.
TP is op de Netgear het wettelijk maximum van 100mW op de 2.4GHz band. Dit is dus al veel hoger dan de meest gangbare routers hanteren.
Ik snap niet waarom je bij access control "block all new devices" hebt gehanteerd. Ik zie de meerwaarde daarvan niet. Voor de veiligheid hoef je dat niet te doen, want alles is te spoofen.
Klopt dat van dat spoofing. Maar mijn gedachte is: elk obstakel is er eentje. Zoiets als de inbreker die ziet dat jij een extra slot op de deur hebt, en daarom maar bij de buren gaat inbreken.
Firmware-upgradeassistent (voor R7000) zegt :
Er is een nieuwe versie van de firmware gevonden. Wilt u nu naar de nieuwe versie upgraden?
Huidige taalversie interface: 1.0.7.2_2.1.38.2
Nieuwe taalversie interface: 1.0.7.6_2.1.38.1
Huidige firmwareversie 1.0.7.2
Nieuwe firmwareversie 1.0.7.6_1.1.99
Opmerkingen bij de release:
1. [Bug Fix] Fixed the security issue about Security Advisory VU 582384.
2. Note: Firmware starting 1.0.7.2 will not include Arlo functionality.
Had gelukkig een oudere firmware die geen problemen heeft, wel vreemd hij wordt normaal gesproken automatisch geŘpdatet. In dit geval een geluk bij een ongeluk of wisten ze bij netgear al veel eerder van dit probleem?

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One (Scorpio) Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*