Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsgaten 11 kwetsbare Netgear-routers gedicht met definitieve updates

Door , 33 reacties

De beveiligingslekken in 11 Netgear-routers waardoor een aanvaller op afstand willekeurige code als root kan uitvoeren, zijn gedicht met definitieve updates. Deze patches kunnen via de webinterface van de routers gedownload en ge´nstalleerd worden.

De updates voor de 11 modellen uit de series R6000, R7000, R8000 en D6000 zijn te downloaden van de website van Netgear. Tot op heden waren voor een merendeel van de routers alleen bèta-updates beschikbaar en voor drie modellen definitieve updates. Het beveiligingslek werd begin deze maand bekendgemaakt en sindsdien heeft de fabrikant aan een oplossing gewerkt. Netgear raadt gebruikers van de routers aan om de updates te installeren, ook als zij eerder al de bètafirmware hebben geïnstalleerd.

Volgens het Amerikaanse Cert van de Carnegie Mellon-universiteit zijn er al exploits voor de kwetsbaarheid in de routers beschikbaar. Die bieden de mogelijkheid om command injection uit te voeren wanneer de gebruiker van een getroffen router bijvoorbeeld naar een malafide website gelokt kan worden.

Voor de Netgear WNR2000-router, die vorige week een andere kwetsbaarheid bleek te hebben, is ook een bètafirmware uitgebracht. Het gat bevindt zich in de functie voor beheer op afstand. Gebruikers kunnen deze functie ook uitschakelen om de kwetsbaarheid tijdelijk te dichten.

Reacties (33)

Wijzig sortering
Voor de modellen R6400, R7000 en R8000 was deze definitieve update al uitgebracht. Zie nieuws: Netgear brengt definitieve patch uit voor drie kwetsbare routers Die kon ik via de webinterface van de router installeren, dus geen handmatige download nodig.

[Reactie gewijzigd door Takezo op 26 december 2016 11:41]

Klopt. Vorige week was dat via de web interface ja.
De komende week zal het ook via de web interface gaan van de andere routers meen ik.
Vorige week was het ook voor de R6250 uitgerold. Een paar clicks verder en klaar...

Ik moet zeggen dat ik het erg waardeer dat Netgear er tenminste iets aan/mee doet. Daar kunnen menig fabrikanten nog een puntje aan zuigen.
Netgear deed er pas wat aan toen het uitgebreid in het nieuws was omdat gebleken was dat Netgear al maanden wist van dit probleem zonder het op te lossen.

Lijkt me dus wat overdreven om Netgear een veer in de reet te steken.
Keywords being "...er tenminste iets...". Ik zeg niet dat Netgear feilloos is, er geen ruimte voor verbetering is of dat ze plotseling alle lof verdienen. Maar ze doen in elk geval er wel iets aan. En in dat geval mag dat ook gezegd worden.

Bovendien heb ik (en jij hoogstwaarschijnlijk ook) geen toegang tot boardroom decisions bij Netgear wat inhoudt dat ik niet kan beoordelen waarom zij het pad dat ze hebben gekozen, hebben gekozen.
Ja, het is fijn dat het uiteindelijk opgelost is, maar meer ook niet. Netgear heeft moedwillig de betalende klant gevaar laten lopen, en pas toen er ruchtbaarheid kwam kwamen ze in beweging.

Ik kan me niet voorstellen welke boardroom decisions valide genoeg zijn vanuit het oogpunt van de klant die gevaar loopt.
Zo is dat.
Vorige week meteen geŘpdatet en opnieuw opgestart.
Binnen 5 min back online
Het automatisch downloaden werkt alleen als devrouter als gateway/modem is ingesteld. Als het 'gewoon' een switch/ap rol vervult in je netwerk is de automatisch downloaden functie uitgeschakeld.
Die van mij update prima via automatisch downloaden en de AP role staat aan. Het klopt dat enkele functies zoals bijvoorbeeld het gastennetwerk of de vpn niet meer werken als dat aan staat (vind t raar dat dat niet gewoon kan maar goed)

Mijn r7500 heeft trouwens geen update beschikbaar

[Reactie gewijzigd door Dennisb1 op 27 december 2016 10:37]

Voor de R7800 is die er nog niet,..,
Voor dergelijke zaken zou er toch iets als automatisch updates moeten bestaan. Als een gebruiker een router instelt zou deze moeten vragen wanneer de router mag controlleren op updates en indien er een update bestaat waardoor er settings veranderen stuur dan een mail of dergelijke. Maar nu zullen er nog heel wat mensen zijn die niet over dit problemen weten en dus nog altijd met het lek zitten.
Automatische updates zijn ook niet alles.. Ook daar kan er in de implementatie nog veel mis gaan helaas. Ik heb dan liever dat mensen wat bewuster met hun apparaten om gaan.
Ja dat zeker maar wanneer ik een router aankoop voor mijn familie en ik deze installeer en daar plaats kan ik niet van hen verwachten dat zij weten hoe ze deze moeten updaten. Voor ons tweakers is dit niet moeilijker maar voor gewone mensen die ergens beter signaal in huis willen en hun router plug&play gebruiken (hier zijn er ook heel wat van) kan dit een stuk beter.
'Iets bewuster' gaat nogal moeilijkbij routers. 95% van de vulnerable netgears gaat deze patch nooit ontvangen, ben ik bang.
Liever niet. Wat als de exploit inhoudt dat je ook de router nieuwe firmware vandaan laat halen waar je het juist niet vandaan wilt halen?
Als je via een exploit roottoegang kunt krijgen kun je sowieso de firmware aanpassen, of er nu wel of geen automatische update aanwezig is.
Ja MS heeft bijvoorbeeld besloten om automatische updates in te voeren en daar zeurt iedereen om, het is nooit goed.
Was prima geweest als die updates niet elke zoveel dagen mijn pc slopen en ik met systeemherstel ze eraf moet gooien aangezien Microsoft geen optie geeft om losse updates eruit te halen en ook niet met een fix komt...
Deze patches moeten nog wel met de hand gedownload en ge´nstalleerd worden.
Dat is het grote probleem.. Hoeveel mensen lezen de nieuwssites en doen dit ook? Er zijn talloze mensen die niks meer aan het apparaat doen en software updates installeren als het eenmaal ge´nstalleerd is.
Tja daar valt wel iets voor te zeggen. Automatische updates zouden kunnen helpen, maar of je dat wilt is een tweede. Verder ben ik deels van mening dat mensen die een alternatieve router kopen, of geadviseerd krijgen door vrienden/kennissen/familie ook erop gewezen mogen worden dat updates belangrijk zijn en zelf ook wel eens achter de oren mogen krabben.
Veel mensen snappen dit zoals gezegd niet en zitten ook niet in een kring van mensen die het wel snappen.

Het aandeel mensen die internetveiligheid Řberhaupt begrijpt/interesseert/serieus neemt is heel klein. Daarnaast heeft familie bij bezoek vaak wel wat anders te doen dan alle computers updaten/routers patchen etc.

Verplicht updates & onderhoud voor elektonica i.c.m. automatische updates gaat zeker helpen hiervoor...

Er heerst altijd een negatief imago omtrent automatische updates maar ik zie ze vaak genoeg van meerdere machines langskomen, in alle jaren is er nog nooit een box door down gegaan (enkel security updates). Het aantal "klant" installaties die misbruikt zijn daarentegen zijn al lang niet meer te tellen.

Automatisch updaten is dus een acceptabeler risico dan afwachten op handmatig ingrijpen. Daarnaast is het risico zeer laag...
Helaas hou ik er standaard al rekening mee dat wanneer ik sommige familieleden bezoek, ik voor een groot deel bezig ben met computerproblemen oplossen. Automatische security-updates zouden daarbij kunnen helpen (nu was de netgear-router een tijdje onveilig omdat kerst toch dichtbij was) maar zouden het niet oplossen. Er is altijd wel iets dat niet middels een update opgelost kan worden.
Oude mensen die je niets nieuws meer kan leren maar maatschappelijk zo betrokken zijn dat ze een computer nodig hebben.
Maar automatische updates vangen wel veel af. Overigens is de support afdeling van de computer/os verkoper ook vaak gewoon te bereiken.

Ik ben praktisch gestopt met het oplossen van problemen die ze zelf ook kunnen doen, stel hooguit auto update in. Doet Windows raar? Bel Microsoft. Heb je de piratenschip editie? Koop je eerst maar licentie, kun je daarna Microsoft bellen...

[Reactie gewijzigd door Ed Vertijsment op 26 december 2016 12:14]

Ik installeer Teamviewer en stuur ze een appje dat ze m even op moeten starten, dan doe ik het vanaf mijn eigen laptop. Wel zo makkelijk en als ik bij familie ben, kunnen we computer/internetzaken laten voor wat het is en gezellig doen :+
Het is sowieso een handmatige actie om firmware te updaten (gelukkig maar imo). Echter normaal kun je via de GUI direct de update laten starten en dat werkt nu blijkbaar nog niet. Vandaar zelf downloaden, uploaden naar de router en dan de update starten.

Mensen die van hun apparatuur updates niet in de gaten houden, jammer dan. Incompetentie kun je met de beste wil van de wereld niet afdekken. Die mensen zouden gewoon bij de apparatuur van hun provider moeten blijven (en hopen dat die er een beter beleid op nahouden) in plaats van zelf te hobbyen.

[Reactie gewijzigd door Bastien op 26 december 2016 11:05]

R7000 heeft download & update functie zitten in de GUI. Werkt zonder problemen, al heb ik na deze update voor de eerste keer de router echt moeten resetten. Webinterface bleef hangen en DHCP problemen. Na reboot alles weer in orde.
Zou je met die kwetsbaarheid de update via die kwetsbaarheid kunnen installeren?
Is dit voor mijn R7500 dan niet nodig...zie hier niks over staan?
Geeft jouw router zelf niet een update aan op zijn eigen pagina?

CERT meldt hier niets over maar maar Kalypto vind hem wel verdacht en raadt je aan om het zelf even te checken.
Nee voor R7500 is er geen update ook geen beta
En dan zijn er nog steeds tweakers die roepen: Waarom dan updaten en patchen? Is toch niet nodig etc.

Goede move van Netgear!
Ik vind dat NetGear / Cisco ons wel eens uitleg mag geven hoe dit soort belachelijk onveilige software op zo'n kritiek apparaat terecht kan komen. Wie ontwikkeld deze software en waarom worden er geen security reviews gedaan voordat dit op de markt komt?

Ik ben er steeds meer een voorstander van een wettelijk verplichte security keuring voor apparaten die aangesloten zijn op het internet.
Draai XWRT AsusVortex voor de R7000.
Geen lek en heeft een uitstekende OpenVpn Client aan boord. (tbv Netflix USA)
Natuurlijk niet voor iemand die hier niet mee om kan gaan of weet hoe te flashen maar wel typisch een uitstekende firmware voor de tweaker hier.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*