Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoekers treffen 10 kwetsbaarheden aan in 25 recente Linksys-routers

Zeker 25 modellen van Linksys-routers zijn kwetsbaar voor aanvallen van buitenaf. De apparaten zouden zelfs gerekruteerd kunnen worden voor botnets. Daar waarschuwen beveiligingsonderzoekers voor. Linksys werkt aan een oplossing.

Securitybedrijf IOActive omschrijft in een blogpost de bevindingen van een uitgebreid onderzoek. De getroffen modellen zitten bijna allemaal in de Smart Wi-Fi-productserie, die recent op de markt is verschenen. In totaal hebben de apparaten tien verschillende kwetsbaarheden in huis.

Bepaalde kwetsbaarheden maken een dos-aanval op de router mogelijk, die ervoor zorgt dat het apparaat niet meer reageert en willekeurig opnieuw opstart totdat de aanvaller besluit zijn offensief stop te zetten. Ook kan een aanvaller de authenticatie van de interface omzeilen en informatie ophalen over de fimwareversie, Linuxkernelversie, verbonden apparaten, draaiende processen en meer. Hij kan zelfs de firewall van de router aanpassen. Tot slot is ook roottoegang tot de router een mogelijkheid en lukte het de onderzoekers zelfs om een verborgen admin-account voor de web-interface aan te maken die door de eigenaar zelf niet gevonden noch verwijderd kan worden.

IOActive heeft op het internet in totaal 7000 apparaten gevonden die kwetsbaar zouden zijn voor een of meerdere van deze aanvallen. Daarvan gebruikt 11 procent het standaardwachtwoord, wat roottoegang ook mogelijk maakt. 1 procent van die 7000 aangetroffen apparaten bevindt zich in Nederland. Bijna driekwart van de 7000 apparaten bevindt zich in de VS.

Linksys logo (27 pix)Details van de kwetsbaarheden geven de onderzoekers niet, aangezien Linksys nog bezig is met een firmware-update die de problemen moet verhelpen. IOActive benadrukt dat de reactie van Linksys op hun bevindingen tot op heden 'voorbeeldig' is.

Linksys heeft de problemen op zijn site onderkend en zegt aan een oplossing te werken. Op die pagina staat ook een complete lijst met getroffen apparaten. In de tussentijd worden eigenaren van de modellen in kwestie aangeraden om automatische firmware-updates in te schakelen, het Wi-Fi Guest Network uit te schakelen en het standaardwachtwoord op het administratorsaccount te veranderen.

Door Mark Hendrikman

Nieuwsposter

22-04-2017 • 12:15

53 Linkedin Google+

Reacties (53)

Wijzig sortering
Ik vraag me dan af hoe het mogelijk is om op afstand (wan) het apparaat te kunnen infecteren. En met name hoe je dan zo'n apparaat benaderd.

[Reactie gewijzigd door KaasDoosNL op 22 april 2017 12:45]

Iedere router die aan internet hangt heeft een ip adres. Er zijn bijvoorbeeld scripts die gewoon op willekeurige ip adressen proberen in te loggen via allerlei poorten met standaard admin/root accounts en veelgebruikte wachtwoorden. Je laat het lopen en zo krijg je vanzelf een lijst met mogelijk hackbare routers. Ik heb mijn router zo ingesteld dat na een x aantal toegangspogingen binnen x minuten die andere kant voor altijd geblokkeerd word. Als ik de lijst controleer komen de meeste uit China.

Het benaderen is dus heel makkelijk, gewoon ip-adressen proberen totdat je een kwetsbare router tegen komt.
Misschien een uitleg over je instellingen geven voor de mensen die ook willen dat na zoveel pogingen van een portscan het voor altijd geblokkeerd is.
Wat altijd geblokkeerd, het ip adres van de poortscan, dan nemen ze een ander ip adres.

Toegang van buiten geblokkeerd, tja dan heb jij weer geen toegang.
Waarom niet?
Zelf kom je van 192.168.0.* (een lokaal adres)
Stel het zo in dat de router alleen vanaf het lokale netwerk te beheren is. Dat scheelt al een heleboel. Veel routers kun je dit met een vinkje instellen.

Sowieso doen de hackers dit in bulk / met scripts. Ze gaan niet voor alleen jouw blokkade van IP switchen.
van buitenaf = WAN, een 192. adres is "van binnenaf".
Tja, dat verschilt per merk. Check de handleiding van je router.
Zo'n apparaat benader je door bijvoorbeeld alle IP's van KPN af te lopen, die lijsten zijn gewoon beschikbaar (anders weet de server van tweakers.net niet hoe hij de inhoud van de site terug moet sturen als je de site bezoekt). Vervolgens heeft linksys een foutje gemaakt: als je een magisch getalletje stuurt naar de router, op een poort die normaal helemaal niks zou moeten doen, maakt de router een 'rekenfoutje'. Dat kan zelfs zo erg zijn dat als je in de volgende berichten naar de router een programma stuurt, dat de router dat dan uitvoert. En tja, zo'n programma kun je alles laten doen: nieuwe regels voor de firewall, nieuw wachtwoord, noem maar op.

Waarom zou je router nou iets doen met zo'n magisch getalletje? Dat is vaak een programmeerfout (bijvoorbeeld: doe iets met -1 lengte, wat als gevolg heeft dat het vorige geheugen wordt overschreven i.p.v. dat wat de programmeur bedoelde), of dat getalletje werd gebruikt voor bepaalde interne testen en had nooit in de router mogen zitten.
Whut?
Er zijn helemaal geen "lijsten" nodig zodat Tweakers weet waar ze de gevraagde content naartoe moeten sturen, zou nogal fijn zijn, als er een range gealloceerd word moeten alle sites eerst hun 'lijst' updaten.
De enige 'lijst' die er bestaat (bijna vergelijkbaar met een telefoonboek) is de conversie van DNS namen (zoals www.tweakers.net) naar een IP. Hoe de server van Tweakers weet waar ze de content terug naartoe moeten sturen? Door middel van de header in het pakket wat je naar de website stuurt. In de header zit het IP van het doel, en van de afkomst. https://en.wikipedia.org/wiki/IPv4#Header

Overigens zijn de ranges die aan landen/providers gegeven zijn wel bekend,

De fout(en) die Linksys gemaakt heeft hebben helemaal niets met poortjes, magische getalletjes en rekenfoutjes te maken. Als je vanaf buitenaf de ssh en/of web interface van de router kan benaderen kun je de in het artikel genoemde acties uitvoeren
En hoe weet tweakers hoe het ip pakketje weer terug moet? Juist, door routing tables
Jullie slaan zaken door elkaar! Dastealth heeft gelijk.
Idd terug naar school jullie!

Hele ipv4 adres space is overigens in paar minuten te scannen, zeker als je weet wat je zoekt (welke poort en reactie je verwacht):

https://zmap.io/

Dat is dus nagenoeg alles en iedereen die nog niet op ipv6 zit.
Met dingen zoals Nmap als uitgangspunt. Deze gast deed het al jaren geleden over het hele internet en met genoeg bandbreedte (en afhankelijk wat je scanned), binnen luttele minuten;
https://www.youtube.com/watch?v=jgGPI1kHXFs

[Reactie gewijzigd door jozuf op 22 april 2017 13:24]

Het zou niet moeten kunnen maar bedenk dat onze moderne spullen steeds meer gemak geven. Ze krijgen steeds meer functies waardoor ze steeds "slimmer" lijken. De gemiddelde consument vertrouwt daarbij op de fabrikant. De fabrikant probeert tegen zo min mogelijk kosten een produkt op de markt te zetten met de functies die de consument wil.

Kortom, foutjes van de fabrikant, gemak voor de klant en luiheid van de klant (default ww niet veranderen etc) zorgen ervoor dat een apparaat vatbaar wordt voor aanvallen.

In dit geval onderzocht men een gekocht apparaat en vond men 10 kwetsbaarheden waarvan er 6 vanaf internet mogelijk waren.

Ik ga er maar vanuit dat de router informatie over zichzelf lekt over bepaalde poorten. Die poorten zijn weer te vinden met een poort scanner. Het antwoord op een port probe geeft dan informatie weg over het device. Als vervolgens de kwetsbaarheden bekend zijn kan een aanvaller gericht acties ondernemen.
Het schijnt om deze modellen te gaan...

EA2700
EA2750
EA3500
EA4500v3
EA6100
EA6200
EA6300
EA6350v2
EA6350v3
EA6400
EA6500
EA6700
EA6900
EA7300
EA7400
EA7500
EA8300
EA8500
EA9200
EA9400
EA9500
WRT1200AC
WRT1900AC
WRT1900ACS
WRT3200ACM
EA2700
EA2750
EA3500
EA4500v3
EA6100
EA6200
EA6300
EA6350v2
EA6350v3
EA6400
EA6500
EA6700
EA6900
EA7300
EA7400
EA7500
EA8300
EA8500
EA9200
EA9400
EA9500
WRT1200AC
WRT1900AC
WRT1900ACS
WRT3200ACM
Ik heb de EA6300 en alle standaard paswoorden bij aankoop al vervangen.

Hoop dat Linksys snel met een oplossing komt, niet dat ik iets te verbergen heb maar wil geen vreemde op mijn netwerk.
Je bent verantwoordelijk voor wat er gebeurd met jouw internetverbinding, reden genoeg lijkt me.
Lijkt me dat je met de koop en intallatie van een merk router er toch alles aan gedaan hebt wat verwacht mag worden van een consument om zijn verbinding veilig te houden. Als je dan toch kwetsbaar bent, lijkt het me niet dat je aansprakelijk gehouden kan worden.

De overheden en dan met name de Europese moeten maar eens met maatregelen komen tegen bedrijven die een jan boel maken van de beveiliging van hun producten terwijl de consument er dik voor betaald.

Al jaren gooien de consumenten router merken je dood met hoe veel bandbreedte en hoeveel apparaten je wel niet tergelijkertijd kan bedienen met hun product. Drie, zes, negen antennes noem het maar op maar gewoon de zaak fatsoenlijk beveiligen, ho maar. Zie http://routersecurity.org/checklist.php voor meer info.

[Reactie gewijzigd door wiseger op 22 april 2017 15:50]

Gebruik gewoon je provider modem router ( meeste providers in NL leveren deze) waardoor de router die rechtstreeks aan internet hangt dus door je provider is geleverd en je mag verwachten dat hun zorgdragen dat deze ook kwa veiligheid in orde zijn. De Routers zijn dan ook vaak prima echter is het accespoint (het deel wat zorgt voor de WiFi) vaak minder goed ( of moet de Modem router op een ongunstige plek geplaatst worden omdat daar nou eenmaal ide aansluiting zit (meterkast bijv.)). Koop dan gewoon een accespoint, bijvoorbeeld die van KPN (ook voor niet KPN internet klanten te koop) voor 50 euro, en plaats deze erbij. Zo ben je goedkoper uit en heb je minder gedoe/ risico.
Een week geleden kreeg ik, als beta-tester, al een verzoek om de nieuwste versie te installeren zonder verdere details te geven. Ik ga er vanuit dat ze met de feedback van de afgelopen week ze de nieuwe firmware spoedig zullen uitrollen, aangezien ze het nu naar buiten brengen.

[Reactie gewijzigd door EdwinW op 22 april 2017 15:30]

Zekers,

Je kunt ervan uitgaan dat deze onderzoekers, niet de 1e onderzoekers zijn. En zeer zeker niet de enige. (hackers dus). Tevens zijn er genoeg bedrijven die dergelijke exploits nog doorverkopen.

Wat mij opvalt in de algemene reacties op dit artikel, is dat de verontwaardiging zeer ondermaats is.
Hier en daar wel, goh, dat had niet gemogen.

Maar je zou zo'n merk toch gewoon moeten boycotten, dát is een groot deel van marktwerking. Laat de slechtere fabrikanten lekker het onderspit delven. Cisco kwam laatst ook zo lekker in het nieuws met backdoor rommel(die er heus nog in zit). Er zijn tegenwoordig ook vele andere grote merken die zeer goed hun best doen.

Gebruik je keuze recht zou ik zeggen.
Zekers,

Je kunt ervan uitgaan dat deze onderzoekers, niet de 1e onderzoekers zijn. En zeer zeker niet de enige. (hackers dus). Tevens zijn er genoeg bedrijven die dergelijke exploits nog doorverkopen.

Wat mij opvalt in de algemene reacties op dit artikel, is dat de verontwaardiging zeer ondermaats is.
Hier en daar wel, goh, dat had niet gemogen.

Maar je zou zo'n merk toch gewoon moeten boycotten, dát is een groot deel van marktwerking. Laat de slechtere fabrikanten lekker het onderspit delven. Cisco kwam laatst ook zo lekker in het nieuws met backdoor rommel(die er heus nog in zit). Er zijn tegenwoordig ook vele andere grote merken die zeer goed hun best doen.

Gebruik je keuze recht zou ik zeggen.
Precies linksys is cisco tegenwoordig die heeft ook nog steeds last van de hidden reaver functie,,,,,, die ze nog steeds niet pachen...
je kan er overgens wel dd-wrt op zetten dan ben je overal vanaf :)

[Reactie gewijzigd door bluegoaindian op 22 april 2017 23:12]

Linksys is geen Cisco meer... volgens mij werd het gros van de software voor linksys gemaakt door netgear
Linksys is al een paar jaar van Belkin hoor... Of hebben die het ook alweer verkocht?
Mee eens dat er meer verontwaardiging zou moeten zijn. Maar aan de andere kant... noem één merk dat geen bugs in zijn apparaten heeft.

Er moet wel meer aandacht voor dit onderwerp zijn en meer mankracht op de ontwikkeling en beveiliging van deze software. En mijn moeder moet het up-to-date kunnen houden, anders heeft het geen zin.
ik heb al jar en dag linksys routers ... ben er altijd zeer tevreden van geweest ...
er was indertijd met de mijne ook een 'issue'; toen was het op te lossen met een bepaalde portforward in te stellen naar een onbekend IP; die forward zit er nog steeds in..
maar verder zijn het zeer performante toestellen die zeer lang mee gaan...
Mwoa... Linksys heeft hele goede modellen gemaakt maar ze hebben ook regelrechte rotzooi op de markt gebracht.
Zo 1tje heb ik nou gehad. Bleek dat bij mijn exemplaar de WPS in de instellingen te verwijderen was, maar eigenlijk gewoon actief bleek. Zeer gevoelig voor hacks dus en dit probleem was helaas geen oplossing voor. Tot overmaat van ramp had ik ook nog een exemplaar waar geen DDWRT of OpenWRT op kon worden gezet, net het verkeerde versie nummer.

Over die hackmogelijkheid, deze router is inderdaad gehackt,

Bedankt linksys.
Als je router te brak is kan je dat soort dingen instellen ja. Ooit op een sweex router poort 53 geforward naar een adres in het netwerk dat niet bestond omdat de ISP de klant had afgesloten vanwege een publieke DNS server. Nergens uit te zetten, alles vol open op WAN, misbruik tot en met...
Drogisterijen en apothekers zijn verplicht na te gaan of de consument genoeg weet over het gebruik van de medicijnen / pijnstillers die ze kopen. Misschien zou het voor dit soort apparatuur verplicht mogen worden de consument te verwittigen het standaard wachtwoord aan te passen, dit voorkomt al flink wat problemen imo.
In Nederland is dit een minder groot probleem omdat de meeste providers een modem router leveren. Als je daar als consument een router achter hangt (ja niet nodig of verstandig maar het gebeurt zo vaak vooral om de WiFi te verbeteren omdat bijna niemand het verschil weet tussen een accespoint en een router met ingebouwd accespoint.....) Is de router niet direct vanaf het internet te benaderen omdat de modem router van de provider er nog tussen zit. In dit geval is dat dus een voordeel voor de consument die minder verstand heeft van routers enz.(namelijk minder vatbaar voor deze problemen zeker die vanaf het internet (wan)). Lekken van de WiFi zelf (gezien de tip om gastnetwerk uit te zetten ben) je natuurlijk nog wel vatbaar voor, maar dan moet de aanvaller al binnen bereik van je WiFi zijn.

Maar goed in Nederland is de gemiddelde gebruiker sowieso beter af met een accespoint dan een router ( uitgezonderd gebruikers met een los modem zonder router functie). Een 2e router veroorzaakt vaak onverwachte problemen zeker als je het niet weet en goed instelt en kost bovendien meer dan een accespoint.

Wat betreft je idee
Misschien dat er een (uitgebreidere) melding moet worden weergegeven aan gebruikers die hun provider modem router in bride modus willen zetten (waardoor deze alleen als modem gaat werken en dus wel de eigen router er achter rechtstreeks aan het internet verbinding) of als ze een apparaat in de dmz willen zetten ( waardoor er ook risico's kunnen ontstaan als je niet weet wat je doet).... Maar goed waar hou je dan op... Waarschuwen voor elke poort die je wilt openen lijkt me ook niet handig...
Wat het wachtwoord betreft kun je beter eisen dat fabrikanten in de firmware invoeren dat dit verplicht bij de eerste installatie moet worden aangepast. Sommige routers hebben dat al. Het staat nu ook al vaak in de handleiding maar dat werkt duidelijk onvoldoende en ik betwijfel of een extra papiertje hierover enig effect zal hebben.
Een tweede router is eigenlijk nooit een probleem BEHALVE wanneer je deze niet goed instelt.
note Je kan ook prima een oude router als accespoint instellen en gebruiken, dat werkt ook prima,volg daarvoor de tips in het topic hierover op het forum ( in het kort, sluit 1 pc rechtstreeks (lan kabel) aan op de router en log in op de web interface. vervolgens zet je de DHCP server uit en geef je de "router" een IP adres buiten de DHCP pool van je primaire router. Stel ook gelijk de netwerknaam + wachtwoord in. Pas dan kun je de "router" in het netwerk opnemen en laat hierbij de WAN poort altijd leeg. Nu werkt de oude router als een accespoint en gaat het prima werken.

Een 2e router (als router) toevoegen is gewoon niet aan te raden. Kijk maar eens in het netwerk topic op GoT.. er staan genoeg voorbeelden daar waarbij mensen in de problemen zijn gekomen omdat ze een router hebben gekocht om hun WiFi te verbeteren...
- apparaten kunnen onverwacht niet meer gevonden worden in het netwerk (omdat er nu 2 netwerken zijn en 1 apparaat voor en 1 achter de nieuwe router staan)
- IP conflicten omdat de nieuwe router dezelfde IP range heeft als de primaire router
- portforwardings die niet (goed werken) omdat men niet door heeft dat men deze in beide router moet instellen (en UPNP niet goed werkt met 2 routers achter elkaar)
- WiFi werkt helemaal niet omdat igmp snooping uit staat en er een mulitcast (interactive TV box) is aangesloten op de nieuwe router
- nog legio andere vage problemen.

Daarnaast is een 2e router in een netwerk gewoon overbodig en nergens goed voor (behalve in een paar bijzondere situaties waarbij je het netwerk wilt scheiden in 2 of meer afzonderlijke delen).. om nog maar te zwijgen over het feit dat de geavanceerde functies van de router die je mogelijk wilt gebruiken zoals VPN server, ddns voor je nas enz. niet (goed) werken tenzij je de nodige instellingen doet op de primaire router welke vaak niet ergens in een eenvoudige handleiding staan. Geen probleem als je handig bent met routers en netwerken, maar anders.....

Of te wel, als je geluk hebt merk je geen problemen, maar als minder geluk hebt....
Vandaar als je alleen je wifi wilt verbeteren, zet dan een accespoint bij, en gezien de lage prijzen en goede prestaties zou ik adviseren om dan gewoon 50 euro uit te geven voor een nieuwe accespoint. Heb je gelijk alle actuele WiFi technieken er op zitten zoals 2.4 en 5 ghz wifi en geen risico's dat het fout gaat met instellingen.
de meeste problemen die je noemt zijn door foute configuratie, allemaal op te lossen. hoeft dus niet perse afgeraden te worden. het is wel zo dat een 2e router in de meeste gevallen overbodig is. meestal voldoet een extender/accespoint prima.
Dat zijn dus alleen problemen door foutieve instellingen. Heeft niets met geluk te maken. Als je je apparatuur goed configureert is er niets aan de hand en werkt router-cascading perfect.
Er zijn wel meer redenen waarom je dit zou willen, behalve het accespoint-argument. Ik ga mijn thuisnetwerk niet aansluiten op een router/modem van een provider die zelf alle macht over dat modem heeft.
Als mijn provider slecht beveiligde modems heeft uitgedeeld of zelf een backdoor heeft ingebouwd, komt men in het externe, lege netwerk van mijn tweede router uit. Vervolgens heb ik het helemaal zelf in de hand of iemand door die tweede barrière heen breekt.
Ban een jaar of anderhalf van die dingen afgestapt. Naar aruba spul.
Leveren net niet genoeg raken snel over verhit. Vastloopers etc.
Heb soms het gevoel dat ze de ptestaties niet halen die ze op de verpakking beloven.
Ja met i apparaat. Maar connect je 10 of meer wifi divices dan stort de prestatie in.
Maar mogen het gaan fixen en hun firmware beter laten controleren op bugs en exploits.
Het is in ieder geval goed dat ze er een oplossing voor maken, maar de grote vraag is altijd hoeveel consumenten bereikt worden en ook daadwerkelijk die update installeren.
Ik heb het idee dat het sinds het van Belkin is het er niet beter op is geworden, al kan elke fabrikant dit soort dingen overkomen.
Net als met veel WiFi devices, print het password van de admin interface op een sticker op het device en 99% van je ellende is voorbij. Veel mensen in mijn omgeving zijn allang blij als ze iets uit de doos aan het werk krijgen en denken tussen de 0 en 5 nanoseconde na over welke gevaren dan ook van het internet. Je kan PEN testen wat je wilt, een suffe gebruiker helpt alle voorafgaande maatregelen totaal onderuit. Die moet je tegen zichzelf beschermen op de één of andere manier. Wat ook kan werken is dat de standaard root credentials alleen werken tot 5 minuten na het opstarten. Moet je natuurlijk wel OK implementeren, maar ook dan voorkom je al een hoop leed.

Kortom: De gebruiker beschermen op de meest klantvriendelijke manier zodat die er minimaal last van hebben, maar wel maximaal profijt.

>Had als reactie gemoeten op ArtGod, je m'excuse ...

[Reactie gewijzigd door Houtenklaas op 22 april 2017 16:01]

Ik vind het altijd frappant dat hackers op mijn apparaten meer rechten kunnen krijgen dan ikzelf.

Probleem met de huidige "consumer" apparaten is dat je er als gebruiker geen root rechten op krijgt. Als je zwakheden van je apparaat al kent, kun je er dus helemaal niks aan doen, en ben je overgeleverd aan de fabrikant. Die er niks aan doet, want die ziet veel liever dat je elk jaar een nieuwe router, tablet, TV en telefoon koopt...

Op een router zou je toch liefst gewoon OpenWRT of een variant daarop draaien. Daar wordt tenminste fatsoenlijk onderhoud op gedaan. Zelfs als je geen guru bent, kun je mooi mee profiteren van de community die zich daarmee bezig houdt.

[Reactie gewijzigd door cdwave op 22 april 2017 19:50]

Gewoon wipen die handel met Brickerbot of zo.

Misschien moeten fabrikanten van dit soort producten wettelijk verplicht worden om een beveiligingsbedrijf een penetration test uit te laten voeren alvorens het op de markt mag worden gezet. Omdat er geen aansprakelijkheid is voor fabrikanten prutsen ze gewoon maar wat in elkaar.

Het is fijn dat Linksys goed meewerkt, maar dit had gewoon nooit mogen gebeuren. Tegen de tijd dat de patch uitkomt zijn al die 7000 routers allang gepwnd.

[Reactie gewijzigd door ArtGod op 22 april 2017 12:49]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Autosport

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True