Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Beveiligingsbedrijf waarschuwt voor lekken in oudere Linksys-routers - update

Het Oostenrijkse beveiligingsbedrijf Sec Consult heeft informatie over lekken in verschillende Linksys-routers gepubliceerd. Daarvoor zijn tot nu toe nog geen patches uitgebracht, maar het bedrijf besloot tot publicatie over te gaan omdat reactie uitbleef.

Volgens Sec Consult gaat het bij de kwetsbare routers om de al oudere E900, E900-ME, E1200, E1500, E3200, E4200, E8400 en WRT54G2. Dat zijn voornamelijk modellen die rond 2012 verschenen. Een van de gevonden kwetsbaarheden laat een aanvaller op hetzelfde wifinetwerk eenvoudig een dos-aanval uitvoeren waardoor het apparaat opnieuw opstart of de webinterface en dhcp niet meer werken. Daarnaast zijn de routers vatbaar voor header injection, waardoor gebruikers doorgestuurd kunnen worden naar kwaadaardige websites.

Verder kan de sessie van een beheerder via het lokale netwerk overgenomen worden en is de beheerdersinterface via dezelfde weg vatbaar voor xss en csrf. Die laten een aanvaller code uitvoeren binnen een browser en zijn uit te voeren omdat de session id overgenomen kan worden. Deze zijn alleen via internet uit te voeren als de id bijvoorbeeld via de referrer via internet te achterhalen is.

Het beveiligingsbedrijf benaderde Linksys in juli met zijn bevindingen, waarop het in augustus drie kwetsbaarheden bevestigde. Aan het einde van die maand meldde Linksys dat het probeerde om gepatchte firmware van de oem te verkrijgen, maar dat dit moeilijk was doordat het om oudere producten gaat. Linksys werd in 2003 door Cisco gekocht en in 2013 doorverkocht aan Belkin. De routers in kwestie kwamen voor deze laatste overname uit.

Begin september zei de fabrikant dat er een patch voor de E2500 beschikbaar is, die deze maand inderdaad uitkwam. Voor andere modellen verwachtte Linksys nog patches te ontvangen. Sindsdien ontving Sec Consult echter geen reactie meer op zijn vragen en besloot het zijn bevindingen te publiceren.

Update, vrijdag: tweaker Cobalt tekent aan dat Linksys voor de E900-routers op 12 oktober al een fix heeft gepubliceerd, terwijl in de publicatie van Sec Consult staat dat deze patch nog onderweg is. Het lijkt om een miscommunicatie te gaan tussen Sec Consult en Linksys. De overige modellen hebben nog geen update gehad.
 

Door

Nieuwsredacteur

39 Linkedin Google+

Submitter: Cobalt

Reacties (39)

Wijzig sortering
Misschien dan toch even de LEDE firmware installeren, die zijn toch wel wat actiever met dit soort dingen oplossen:
https://lede-project.org/...ys&dataflt%5BModel*%7E%5D=
Het probleem met veel open source router firmware is dat men zich meer zal moeten gaan inlezen en netwerk & basis linux kennis nodig heeft om het een en ander correct op te zetten.

Ook gelden er voor sommige hardware beperkingen, NAT Acceleration of WiFi wordt niet altijd ondersteund of werkt niet altijd helemaal zoals gewenst, zelfs na optimalisaties. zo wordt bijvoorbeeld de quantenna chip door velen niet ondersteunt dus heb je bijvoorbeeld bij de AC87u geen 5Ghz band meer.

Echter heb je in het geval van Asus, vaak ook Merlin-Firmware welke stabieler en veiliger is dan stock asus firmware maar de gebruiksvriendelijk blijft gehandhaafd terwijl ook de wat ingewikkeldere dingen mee kunt uitvoeren.
Kwestie van omdenken: voordat je nieuwe hardware koopt nagaan of de alternatieve, open-source firmware ook volledig functioneel beschikbaar is.
Klopt, maar helaas zie ik dit men nog steeds niet doen er is maar een kleine groep mensen welke echt researched of het product daadwerkelijk aan hen eisen voldoet.
Of Openwrt, DD-WRT, Tomato, etc...
Maar Openwrt wordt niet echt meer aan gesleuteld, bijna alle devs zijn naar LEDE overgestapt.
Gelukkig staat mijn Linksys EA6300 er niet tussen. Tegelijk weet ik dat Openwrt of DD-WRT niet draaien op mijn router dus misschien ook niet voor deze modellen?

[Reactie gewijzigd door angerfist-yentl op 18 oktober 2017 12:52]

DD-WRT draait prima op een EA6300v1, zie deze lijst en een na laatste kolom voor minimaal versienummer:
http://www.dd-wrt.com/wik...Wireless_a.2Fb.2Fg.2Fn.29

Edit: de niet-v1 versie is inderdaad niet ondersteund of zeer buggy (geen 5ghz bv)

[Reactie gewijzigd door Feni op 18 oktober 2017 12:53]

Ik heb inderdaad de EA6300v1 alleen sommige bestanden kan je niet meer downloaden op het forum waar je naar toe geleid word. Daar liep ik een jaar geleden ook al tegen aan.

"1. Flash the default stripped down version of DD-WRT (from Linksys Web GUI or ASUS Rescue tool)
http://d.pr/f/17CIg/5I5UrVmX+ (Credit goes to numinit for the Initial WebFlash) " hier loop ik vast (de link werkt niet meer) dus geen striptdown version for me xD om het proces te starten.

ik kan wel de nieuwste beta versie van DD-WRT downloaden voor mijn router (EA6300 of EA6400) dus als je eenmaal erop draait kan je wel updaten. maar ben bang dat ik dan mijn router bricked
Unbricken moet mogelijk zijn maar is flink gedoe. Let ook op: als je een recente Linksys firmware hebt kun je sowieso niet meer updaten omdat er een signature-check is toegevoegd. DD-WRT heeft die uiteraard niet dus faalt de flash.
Denk maar niet dat je EA6300 veilig is: http://www.ibtimes.com/li...security-exploits-2529094
Deze bug hebben ze ook nog steeds niet gepatcht (https://www.linksys.com/gb/support-article?articleNum=148392 - laatste versie komt uit 2016).
Recente LEDE zou ook het WifiGat van afgelopen maandag al moeten dichten.
Ooit was er een regel (volgens mijn geheugen, geef ik toe), dat in de USA fabrikanten van auto's minstens 10 jaar reserve onderdelen moesten leveren.
Ik zou zo'n regel ook willen voor leveranciers van elektronica waarbij software updates vallen onder de clausule "kapot/hackbaar/etc. -> vervangen".
Lost het probleem op van telefoons die onbruikbaar zijn omdat accu ermee ophoudt, printers waarvoor geen cartridges verkrijgbaar zijn, scanners die ineens niet meer werken onder Win10.
Dit zal een meerprijs worden, maar die verdienen we terug doordat we minder vaak hoeven te vervangen.
Dat zou inderdaad erg mooi zijn als fabrikanten wettelijk verplicht worden hardware een aantal jaar na uitgifte volledig te blijven ondersteunen en dus ook blijft voorzien van de nodige firmware en veiligheid updates.

Het is schandelijk dat bijvoorbeeld nog smartphones verkocht worden met niet meer door Google ondersteunde Android versies of welke niet meer bijgewerkt worden door fabrikanten terwijl Google er wel nog ondersteuning voor aan biedt.

Hardware dat je in feite pas na jaren vervangt zoals printers & scanners zouden inderdaad ook jaren lang die ondersteuning moeten ontvangen.

Levenscyclus wat Microsoft hanteert voor hen producten zou wat mij betreft overall op toegepast moeten kunnen worden.

[Reactie gewijzigd door Jonathan-458 op 18 oktober 2017 14:23]

Dit zal een meerprijs worden, maar die verdienen we terug doordat we minder vaak hoeven te vervangen.
En dat is precies de reden dat fabrikanten het niet willen.

Fabrikanten van auto's moeten dan wel 10 jaar reserveonderdelen leveren, maar ze hoeven dat niet gratis te doen. Over het algemeen verwacht men wel dat software/firmwareupdates gratis zijn. Als fabrikanten kosten kunnen rekenen voor updates én consumenten verplicht zijn om deze te betalen (denk ook aan bijvoorbeeld APK bij auto's), dan wordt het beter.

Kosten van updates in de aanschafprijs meerekenen wordt zeer lastig - je weet niet van tevoren wat de kosten zijn, en daarmee wordt het iets waar zeker op geconcurreerd gaat worden. De consument gaat weer voor de goedkoopste, maar door de lage onderhoudsmarge zullen updates zeer matig uitgevoerd worden om met de hakken over de sloot te komen. Daarmee kom je er niet.

Het is een mentaliteitsprobleem, zowel van fabrikanten als van consumenten. Beiden willen zo min mogelijk uitgeven en zo veel mogelijk binnenharken. Dat conflicteert nogal.
Die 'auto' regel was ook niet gratis. Maar het moet wel leverbaar zijn tegen een redelijke prijs. Dat zou voor software updates ook moeten gelden. En als de prijs dan 1 miljoen is, wordt het leuk juridisch gevecht. De update is al gemaakt, maar wat is de prijs.

Maar een neven effect: fabrikanten bv: als HP hebben telkens nieuwe laserprinters met nieuwe tonercartridges. Niet dat die nieuwe zoveel beter zijn, maar het geeft ze een handvat om oude modellen te laten uitsterven (terwijl de printer het nog goed doet). Als ze 10 jaar lang die oude cartridges moeten leveren, kunnen ze dat dus niet. HP is alleen maar een voorbeeld. Scanners die ineens geen driver hebben voor Win10-64 bits (op de doos Win7 en hoger).
Als bij een nieuwe scanner de driver 10% van de aanschafwaarde is, dan voor 'oude' printers ook zo'n bedrag. Is voor de consument betere, een tientje betalen voor een nieuwe driver, of 100 voor een nieuwe scanner.
Ik ben niet tegen vernieuwing, maar ik ben wel tegen commerciële veroudering.
Daarom betaal ik dus die premium voor een Apple iPhone welke voor een x aantal jaar voorzien wordt van OS updates en het belangrijkste veiligheid updates, geen probleem om 1x in de 3,5 a 4 jaar een nieuwe iPhone te kopen.

De enige Android modellen welke volledig bijwerkt zijn is de Pixel serie en daarvan is niet gegarandeerd dat je na 2 jaar nog voorzien wordt van alle veiligheidsupdates.
De enige Android modellen welke volledig bijwerkt zijn is de Pixel serie en daarvan is niet gegarandeerd dat je na 2 jaar nog voorzien wordt van alle veiligheidsupdates.

Dat is nog een mythe die de ronde blijft doen. Sommige merken ondersteunen hun (betere) smartphones ondertussen al 3 jaar met veiligheidsupdates (zie bvb. Samsung). Het zijn de grote OS updates die veelal beperkt blijven tot 2 iteraties.
Ik zie inderdaad dat o.a Samsung sinds 2016 een aantal toestellen voorziet van Security updates per maand of kwartaal dit is inderdaad een vooruitgang echter is het ook afhankelijk van de regio en carrier helaas.

Maar het is eens stap in de goede richting, ook al betreft het veel al alleen de top modellen sinds 2016.
Maar het moet wel leverbaar zijn tegen een redelijke prijs. Dat zou voor software updates ook moeten gelden.

Probleem is echter dat wat de meeste consumenten redelijk vinden, volstrekt ontoerijkend is om de upgrades te bekostigen. Software ontwikkelen is immers duur ...
En dus: doen we het maar niet?
Software met bugs ontwikkelen is wellicht goedkoper, maar als er een verplichting is om dat te herstellen is er balans in de markt,
Sorry maar ik vind je argumentatie nergens op slaan.
En dus: doen we het maar niet?

Jawel, maar er is in de consumenten wereld dus nauwelijks markt voor.

Er zijn meer enterprise producten als vervanging voor Linksys, maar de gemiddelde consument moppert daar doorgaans over dat het véél te duur is.

maar als er een verplichting is om dat te herstellen is er balans in de markt,

Verdubbel dan maar de prijs van je volgende (Linksys) router. 8-)
Wellicht handig om erbij te vermelden om welke modellen het specifiek gaat. Zo hebben wij hier bijvoorbeeld de e4200 versie 2 draaien. Volgens het artikel is enkel versie 1 kwetsbaar.
Paste
VULNERABLE / TESTED VERSIONS

Linksys E2500 – 3.0.02 (build 2)

According to the Linksys security contact the following products are affected too:

Linksys E900 (Version: 1.0.06)
Linksys E1200 (Version: 2.0.07 Build 5)
Linksys E8400 AC2400 Dual-Band Wi-Fi Router (Version: basic version ?)
Based on information embedded in the firmware of other Linksys products gathered from our IoT Inspector tool we believe the following devices are affected as well:

Linksys E900 (Version: 1.0.06) — confirmed by vendor
Linksys E900-ME (Version: 1.0.06)
Linksys E1200 (Version: 2.0.07 Build 5) — confirmed by vendor
Linksys E1500 (Version: 1.0.06 Build 1)
Linksys E3200 (Version: 1.0.05 Build 2)
Linksys E4200 (Version: 1.0.06 Build 3)
Linksys WRT54G2 (Version: 1.5.02 Build 5)
Als ik software die we 10 jaar geleden hebben verkocht nog actief moet onderhouden dan kan ik de tent wel sluiten. En doe je het niet dan kan de klant zijn geld terug vragen. En omdat er altijd bugs en veiligheidsproblemen aan te voeren zijn zal vrijwel alle software gratis worden. Al je geld terug dat je MS hebt betaald in de laatste tien jaar voor OS en Office. Alle grote games gratis...

Een sympathieke gedachte maar in de praktijk funest voor de hele IT wereld.

[Reactie gewijzigd door falconhunter op 18 oktober 2017 13:02]

Als de software die je verkoopt die zoveel effort vereisen om de beveiliging up2date te houden dat je de tent moet sluiten, dan is er iets mis met je software.
Dat je iets maakt en jaren blijkt dat er een probleem is kan ik billijken. Het is nauwelijks te verwachten dat iemand iets maakt waar geen fout in zit (afgezien van "Hello World").
Maar jouw uitgangspunt is inderdaad funest voor de ICT wereld.
Kijk bijvoorbeeld eens naar Flash, waar sommige webinterfaces van routers ook gebruik van maken of Java. Je kan gewoon niet verwachten dat hardware zolang ondersteund wordt voor firmware e.d.
Als ik het goed lees is er dus alleen gevaar van anderen op hetzelfde WiFi netwerk? Dan valt het voor de meeste mensen nog wel mee lijkt me, ik heb buiten mn huis nog nauwelijks signaal dus dan zou een attacker al in mijn huis moeten staan wil hij iets kunnen doen.
Nee, er wordt ook een attack genoemd die vanaf het internet geïnitieerd kan worden.
Onderschat ook niet hou lucratief het kan zijn om op je locale netwerk/wifi te komen om je internet bankieren over te nemen. Met een wat sterkere antenne kan dat zeer waarschijnlijk vanaf de straat.
Mooi balen. Wij hebben de E4200 nog steeds draaien uit mijn hoofd. Hopelijk snel nieuwe firmware.
Ik heb momenteel een Linksys E3200 in gebruik die op de DD-WRT firmware draait, tevens maakte ikzelf hiervoor al jaren gebruik van de DD-WRT firmware. Je kan prima overstappen van firmware, het is zelfs aangeraden. Momenteel werken ze bij DD-WRT aan een patch voor Krack.

[Reactie gewijzigd door Indir op 18 oktober 2017 14:24]

Hm dus eindelijk reden om versneld mijn e4200 uit te faseren en over te gaan op Ubiquiti. Denk niet dat ze dit nog gaan patchen voor 5 jaar oude routers. Eerder waren er al kwetsbaarheden in de linksys series van 2012. Voor de e4200 kwam er firmware 1.0.0.5 voor uit meende ik.
Je kan prima overstappen naar de DD-WRT firmware, het is zelfs aangeraden. Ik begrijp niet waarom mensen zo blijven vasthouden aan de verouderde en inferieure firmware die meegeleverd wordt op dit soort apparaten.

[Reactie gewijzigd door Indir op 18 oktober 2017 14:10]

Heb heb het even getest, en LEDE ondersteunt geen N of 5gHz op de E4200 v1. Daar sta je dan met je high speed 300+450Mbps router die niet sneller wil dan 54Mbps.
De stock firmware is de snelste die je kan krijgen voor deze routers.
Voor zover ik weet ondersteunen zowel de DD-WRT als Tomato firmwares wel de 5 Ghz band. Maar voor dit specifieke apparaat (de E4200) zal je je toch wat meer moeten inlezen en daarbij flink wat Google-fu gebruiken om er achter te komen hoe en wat. Wat LEDE betreft heb ik daar momenteel geen ervaring mee om enigszins een antwoord te kunnen verschaffen of er überhaupt N of 5Ghz ondersteuning voor is en welke builds daarvoor geschikt zijn.

Je kan hopelijk hier meer mee uit te voeten. Aangezien het nieuwe bronnen verschaft om verder te zoeken.
Na aanleiding van dit bericht heb ik net op mijn E4200 LEDE gezet. Ik ben best wel leek maar dit viel 100% mee.
Ik wist zelf niet welke ik had de V1.0 of V2.0, dat stond er niet op. Aan de hand van FCC ID kwam ik er achter dat ik de V1.0 versie heb.
Wel goed de installatie guide rustig doorlezen.
Tja, welke gebruikers zullen hun router van een update voorzien als die al uitkomt?

Via een web-interface een nieuwe firmware op het systeem zetten gaat natuurlijk vrijwel geen enkele niet nerd doen.
Wat ik nou nog het meest irritante vind aan deze bedrijven is dat ze de hele meuk publiceren en dat gebruikers de dupe worden van het zelfschouderklopjes geven van deze 'goed bedoelde' acties.

Er word voor het gemak vanuit gegaan dat de lekken al bij iedereen bekend waren maar degene die kwaad willen hebben alleen maar baat bij deze lekken.
En de consumenten kunnen weer diep in de buidel tasten om van hun kant het probleem op te lossen dat de dag daarvoor misschien geen probleem was omdat niemand er vanaf wist.

Natuurlijk moet het opgelost worden zeker in alle nieuwe producten maar of dit de juiste manier is...

Ik heb een TP-link wdr-4900 en heb echt geen flauw idee hoeveel lekken er in zitten ondertussen maar ik heb echt geen zin om voor de 8ste keer weer een nieuwe router te kopen omdat hij gewoon goed werkt maar dit soort lui het nodig vinden om deze leaks te publiceren.
En updaten is nog schaarser dan android toestellen en heb welgeteld 0 updates ontvangen voor deze router.
dat de dag daarvoor misschien geen probleem was omdat niemand er vanaf wist.
Dat valt onder "security through obscurity"

Zo lang we het er niet over hebben zal er ook geen misbruik van gemaakt worden.
Maar degenen die kwaad willen zijn er vaak al van op de hoogte of "kraken" het systeem en maken er al misbruik van. Dat zijn zeker niet degenen die het aan de grote klok hangen.

En dus ben jij als gebruiker/consument de dupe want je wordt niet beschermd of geïnformeerd.

Helaas is de tijd van "touwtje uit de brievenbus" voorbij, in ieder geval wel op Internet.

[Reactie gewijzigd door akimosan op 18 oktober 2017 17:45]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*