Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mogelijk miljoenen Netgear-routers bevatten kwetsbaarheid - update

Door , 39 reacties

Een beveiligingsbedrijf heeft een kwetsbaarheid gevonden in verschillende Netgear-routers. Als een aanvaller toegang heeft tot de webinterface, kan hij dankzij een kwetsbaarheid zonder inloggegevens binnenkomen. Mogelijk zijn er miljoenen apparaten kwetsbaar.

Beveiligingsbedrijf Trustwave vond de kwetsbaarheid in de pagina passwordrecovered.cgi. Die pagina vergt een bepaalde cijferreeks die de software genereert als de gebruiker met succes door de wachtwoordherstelprocedure heen loopt. Deze token kan echter ook een verzonnen reeks cijfers zijn en alsnog zal deze pagina de logingegevens tonen. Standaard staan Netgear-routers zo ingesteld dat de administratorsinterface niet vanaf het web toegankelijk is, wat betekent dat deze kwetsbaarheid zich voornamelijk op lokaal niveau voordoet. Wie de web interface ook vanaf het wan toegankelijk heeft gemaakt, staat open voor een aanval van iedereen.

Wanneer een kwaadwillende toegang heeft tot de administratie-interface van de router, zou hij of zij bijvoorbeeld de firmware kunnen vervangen met een vervalste versie, die bijvoorbeeld de router onderdeel maakt van een botnet of de dns-server aanpast zodat gebruikers achter de router webpagina's met malware te zien krijgen.

Meer dan vijftig verschillende routers en modems van Netgear zouden de kwetsbaarheid vertonen. Ook twee routers van Lenovo die op Netgear-firmware draaien. In bepaalde gevallen is het probleem al verholpen door Netgear, maar nog niet bij allemaal. Het bedrijf weet sinds april van 2016 van het probleem af.

Het nieuws volgt kort op het bekend worden van andere kwetsbaarheden in elf verschillende Netgear-routers. Twee weken nadat de kwetsbaarheden bekend werden, waren deze allemaal gedicht met definitieve updates. De auteur van dit nieuwe rapport omschrijft het contact met Netgear, dat hij sinds april 2016 had, als 'frustrerend'.

Update, woensdag, 14.30:  Netgear meldt bekend te zijn met kwetsbaarheid CVE-2017-5521), maar claimt dat het niet om een nieuwe of recente ontwikkeling gaat. "We werken al met TrustWave om de kwetsbaarheid te analyseren. Netgear heeft een knowledge base-artikel gepubliceerd voor de betreffende routers en de beschikbare firmware-fix."

Reacties (39)

Wijzig sortering
"R7000 V1.0.6.28_1.1.83 (V1.0.7.2_1.1.93 is latest and is patched)"

Ja?... Ik heb V1.0.7.6_1.1.99

Ik snap er geen drol meer van.
Dan heb je de laatste firmware en die heeft dus ook de patch.
Op moment van publiceren of testen was deze nieuwere versie nog niet beschikbaar.
De v1.0.6 is dus wel kwetsbaar.
Zou je die interface niet kunnen benaderen via bijvoorbeeld een verborgen iframe op een besmette site? Dan komt het request van binnen het netwerk en helpt de setting dat hij niet via het wan te benaderen is niet.

[Reactie gewijzigd door ATS op 31 januari 2017 15:34]

Via iFrame bij de webinterface komen en dan met 3 5 drukken op de knop de VPN toegang aanzetten en auto-generated config files downloaden voor oVPN.

De meeste mensen komen hier nooit en jij hebt onbeperkt toegang tot alle apparaten op het netwerk. Best kwalijk dit!

edit: even snel VPN naar mijn Nighthawk R7000 gedaan en gecheckt. Het zou zijn:

-inloggen.
-click op "geavanceerd".
- click op "geavanceerde instellingen"
- click op "VPN service".
- click op "VPN-service inschakelen"
- click op "voor windows"

En na die laatste stap krijg je een auto-generated oVPN files met alle benodigde bestanden om ten alle tijden het LAN binnen te komen. Dit zou je nooit zien als gebruiker, tenzij je op een later moment specifiek in je router inlogt (zelf) om te kijken wie er geconnect is.

[Reactie gewijzigd door ApexAlpha op 31 januari 2017 15:48]

? Maar dan heeft die site nog geen toegang tot die bestanden toch? Want die worden toch gedownload richting computer van gebruiker? Of is via een iframe ook mogelijk die af te vangen? Ik snap het niet goed denk ik :)

[Reactie gewijzigd door woekele op 31 januari 2017 16:35]

? Maar dan heeft die site nog geen toegang tot die bestanden toch? Want die worden toch gedownload richting computer van gebruiker? Of is via een iframe ook mogelijk die af te vangen? Ik snap het niet goed denk ik :)
De iframe truc kan ook gebruikt worden om eerst remote toegang in te schakelen, waarna iemand van buitenaf makkelijker in kan breken om de rest te doen.

Daarvoor hoef je de admin UI niet te puppeteeren. Je hoeft alleen maar te weten hoe de message body van de HTTP POST er uit hoeft te zien om de password reset te bewerkstelligen; de HTTP POST om een ingelogde sessie te krijgen; en de HTTP post om remote toegang aan te zetten; en deze achter elkaar uit te voeren. 1, 2, 3; binnen.

[Reactie gewijzigd door R4gnax op 31 januari 2017 17:36]

Niet helemaal, want dat is XSS (Cross-Site Scripting) en daartegen zijn beveiligingen gebouwd, bijvoorbeeld een afgeschermde token in het form en/of een sessiewaarde. Zover ik weet kan je niet met 2 admins tegelijk in de Netgear UI inloggen, maar ik weet niet wat ze doen tegen XSS.
In het geval van iframes kan het domein er voor zorgen dat dit niet is toegestaan dmv de X-Frame-Options header en tegen XSS bestaat de CSP (Content Security Policy) header. Let wel op dat dit alleen je beschermt wanneer de browser dit ondersteund. Je router kan nogsteeds geinfecteerd worden vanuit een verbonden apparaat in het netwerk.
Dit maakt het verhelpen van zulk soort problemen zoals wordt besproken in dit nieuwsitem essentieel, want dat verlaagt de kans op externe inbraken danwel lokale (iemand raad je WiFi wachtwoord en slaat z'n slag).

[Reactie gewijzigd door Diamondo25 op 1 februari 2017 11:46]

Een besmette telefoon/tablet/laptop die eventjes bij vrienden op het WiFi netwerk mag kan op die manier idd makkelijk zijn werk doen.
Content-Security-Policy is een optie, je kunt ook X-Frame-Options gebruiken met als waarde DENY of ORIGIN.
Bedankt, toegevoegd aan bericht.
Ik snap 'm nu. Dank.
Zou je die interface niet kunnen benaderen via bijvoorbeeld een verborgen iframe op een besmette site? Dan komt het request van binnen het netwerk en helpt de setting dat hij niet via het wan te benaderen is niet.

Hangt van de browser af. Microsoft's browsers Edge en IE blokeren dit soort requests in ieder geval al jaren. Chrome oorspronkelijk niet, maar ik geloof dat ze dit later gepatched hebben.
Ik zie dat mijn model op de kwetsbaar-lijst staat.
Vanavond maar eens onderzoeken of mijn netgear router met DDwrt ook kwetsbaar is...

edit:typo

[Reactie gewijzigd door Deakers op 31 januari 2017 16:25]

Dat lijkt me niet. Het gaat immers om een webpagina van de NetGEAR firmware. Die zal niet aanwezig zijn op DDWRT
Zo te zien heb ik met het updaten van de firmware een week of twee terug de gaten al gedicht. Volgens de lijst die jij hier neerzet is dat in ieder geval wel het geval:
# R7000 V1.0.6.28_1.1.83 (V1.0.7.2_1.1.93 is latest and is patched)
Maar het blijft wel een zorgwekkend euvel, deze kwetsbaarheid. Ik mag hopen dat het uiteindelijk niet leidt tot eenzelfde situatie als met OCZ toentertijd, de slechte naam na het firmware debacle zijn ze nooit te boven gekomen. Dat gun ik Netgear niet, ze hebben prima netwerk producten met redelijk stabiele firmwares.

Over de stabiliteit van de firmware van Netgear valt te discussiėren maar op wat updates na, die na het bekend worden van een bug/issue/kwetsbaarheid zijn gefixt met een nieuwere firmware versie, is het toch best goed te doen.
Het vervelende is dat het overgrote deel van de routers nooit gepatched zal worden, en doorgaans ook achter NAT zitten zodat providers die bot-verkeer detecteren ze niet individueel kunnen blokkeren zonder dat ze het complete LAN van internet afsluiten.
Waarom niet afsluiten als een IP adres bewezen onderdeel is van een botnet? Alhoewel ik dan zou zeggen blokkeer alleen dat verkeer als je het blijkbaar kan identificeren en stuur de klant een bericht. Een redirect naar een hulp pagina eens per 24 uur tot het probleem verholpen is zou ook mooi zijn.

Alhoewel, ik vrees dat er beter boetes uitgedeeld kunnen worden. Ik ken verschillende mensen die windows XP draaien metverouderde browsers en anti virus. Het interesseert ze niets als het maar geen geld kost en ze er zelf geen last van hebben...
Waarom niet afsluiten als een IP adres bewezen onderdeel is van een botnet?
Als een aantal apparaten NAT aan hebben staan, en in je router staat ook NAT aan, dan gaat dat lastig.
XS4All heeft die policy al, je krijgt dan als klant een pagina dat je bent geblokkeerd en waarom.

Als je het opgelost hebt mag je een automatische unban doen, doe je dit te vaak zonder dat je probleem is opgelost is dan mag je het via de klantenservice gaan doen.
Een IP adres afsluiten is een hele drastische maatregel die vele gebruikers treft. Een provider gaat echt niet een heel bedrijf offline halen omdat er ergens botverkeer vandaan komt. Met NAT kan je eigenlijk alleen of alles uit, of alles aan zeten, met verbindingen zonder NAT (zoals bij de meeste IPv6 implementaties) kan de provider gericht 1 besmette device (bv een printer, een router, etc) blokkeren.
Bedrijven zullen een goedbereikbaar contactpersoon hebben tijdens kantoor uren, die kan je waarschuwen en zullen meestal ook maatregelen nemen.

Particulieren is een ander verhaal, rerouten naar een waarschuwingspagina en zelf certificeren dat je het hebt opgelost zoals XS4ALL blijkbaar doet is daarvoor een prima oplossing.

En een bedrijf dat zijn problemen niet rap oplost nadat ze ervan op de hoogte zijn gesteld kan je ook afsluiten. Ze veroorzaken immers schade aan derden via dat botnet.
Dat werkt alleen bij deskundige klanten, daarom doet ook alleen een XS4ALL dat, en niet een Ziggo of KPN. Al zal dit misschien op een gegeven moment wettelijk wel moeten.
Bizar, vooral bij routers zou de beveiliging goed moeten zijn of je moet in ieder geval het gevoel hebben dat de fabrikant dit hoog in het vaandel heeft staan. Bij Netgear blijkbaar niet.
Default is er niets aan de hand!
Pas als je je beheer interface open op het internet kukelt kan hier misbruik van gemaakt worden.

Dit is dus net zo'n sleutelkluisje van 3 cijfers naast je voordeur hangen. Binnen een paar minuten heb je alle 999 combinaties geprobeerd en is het kluisje open.

Volgens mij geeft de GUI ook duidelijk aan als er updates zijn. Als je niet bekend bent met dit soort zaken, dan knoop je dus ook je beheer interface niet aan de WAN kant en dus is er geen probleem.
Als er een lek in je browser gevonden wordt kan dat misbruikt worden om je hele netwerk wijd open te zetten. Ook als je default setting hebt laten staan.
... lekker dan, net laatst nog een R7000 firmware moeten doen.. nu weer zeker ;)
Nee, die laatste firmware heeft ook dit lek gepatched voor de R7000.
Als een aanvaller toegang heeft tot de webinterface, kan hij dankzij een kwetsbaarheid zonder inloggegevens binnenkomen.
Een 'kwetsbaarheid' noemen ze dat... Het zou me niet verbazen als er nu al progjes verkrijgbaar zijn die het even voor doen.
Konden ze niet voor de zekerheid nog een block/alarm inbouwen voor wanneer er van buitenaf ge-adminned wordt terwijl die optie uit staat? Of hebben ze nog andere uitzonderingen waardoor dat toch moet kunnen? O-)
maar gauw een ander merk router kopen dit is nu al de tweede keer problemen r7000 router ik heb ook al een nieuwe r7000 onder garantie gekregen weer het zelfde probleem
Dit is bij meerdere merken misschien zo hoor.
Maar goed dat zij het snel gaan fixen
Misschien is het ook wel zo eerlijk om erbij te vermelden, dat netgear hier ook al een update voor heeft. Gisteravond gaf mijn netgear nighthawk R8000 al aan dat er een firmware update beschikbaar was, die dit verhelpt volgens de patch notes.

Ik draai helaas de orginele netgear firmware, omdat de dd-wrt op dit model niet stabiel is :(
Ben ik zo trots op de r7000 die ik heb, kostte ook beetje geld, en prestaties zijn geweldig, en eigenlijk meteen weer spijt van.

This is why we can't have nice things.
Het is gewoon slecht hoe bedrijven hun focus op de verkeerde dingen leggen. Stop een miljoentje minder in je ads en stop het in de zak van een gerespecteerde developers team die graag goede software maakt. Als je kijkt naar deze interface paginas en het aantal features waar het mee overstroomt is, is het niet zo goed om te denken "natuurlijk is dit slecht in elkaar gezet".

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*