Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Bug Linksys-routers maakt inzien verbindingen met andere apparaten mogelijk'

Een groot aantal routers van Linksys zou niet goed beveiligd zijn waardoor buitenstaanders gemakkelijk online kunnen uitlezen met welke apparaten zij verbonden zijn. Linksys zelf stelt echter dat het de kwetsbaarheid niet kan reproduceren.

De bevindingen zijn online gezet door beveiligingsonderzoeker Troy Mursch, die op zijn website uitlegt hoe de kwetsbaarheid uitgebuit kan worden. Met een relatief gemakkelijke truc kan een buitenstaander op de inlogpagina van een Linksys-router achterhalen met welke apparaten er verbinding is gemaakt, nu en in het verleden, inclusief om welk type het gaat en wat het mac-adres is. Ook is het mogelijk om te achterhalen of de routers nog hun standaardwachtwoord gebruiken.

Volgens Mursch waren er ten tijde van zijn onderzoek iets meer dan 25.000 routers online die de kwetsbaarheid bevatten, waarbij in totaal driekwart miljoen mac-adressen van ooit verbonden apparaten inzichtelijk waren. Een paar duizend van de gevonden routers waren nog voorzien nog het standaardwachtwoord. Er zouden volgens Mursch zo'n 33 routermodellen vatbaar zijn voor de kwetsbaarheid.

Linksys zelf stelt dat het eerder deze maand op de hoogte is gebracht door de bevindingen van Mursch. Het bedrijf kan de problemen echter niet reproduceren en verwijst naar het in 2014 gerepareerde lek CVE-2014-8244. Het bedrijf vermoedt dat de online gevonden routers nog een oudere versie van de firmware hebben, en adviseert gebruikers om hun software te updaten. In een reactie aan Ars Technica geeft Mursch echter aan dat de problemen niet zijn gerepareerd met de fix die in 2014 is uitgebracht. Daardoor is nog onduidelijk wat de precieze oorzaak is en of Linksys de problemen alsnog gaat repareren.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

19-05-2019 • 11:01

55 Linkedin Google+

Reacties (55)

Wijzig sortering
De inlog pagina van een (linksys) router bevind zich normaal aan de LAN zijde. Kortom als je zelf niet dom genoeg bent om dit vanaf het internet open te zetten is er weinig aan de hand. Tuurlijk wil je helemaal geen kwetsbaarheden maar veel routers worden na verloop van tijd ook niet meer ondersteund door de fabrikant. Daar gaat open-source niks aan veranderen want ook die kunnen niet eeuwig bepaalde apparaten blijven ondersteunen.
misschien niet eeuwig maar het kan dan door de community worden bijgehouden
Het KAN, maar vaak genoeg gebeurd dat niet omdat degene met kennis om de aanpassingen te maken al weer verder gegaan zijn en geen zin meer hebben om nog de oude hardware te ondersteunen.
opensource fw zoals bv freshtomato ondersteunt nog steeds mips routers met 4MB flash geheugen. dan kom je terecht bij routers als de linksys WRT54 serie, die eind 2002 uitkwam. laatste update van die software is van 20 april 2019 .....
Met hele goede reden, volgens mij: die routers zijn ideaal om een VPN verbinding te onderhouden. Cheap-ass VPN is een hele goede reden om oude routers up-to-date te houden...
De LAN-zijde is ook niet veilig voor buitenstaanders. Bij jou thuis zal het meevallen, maar genoeg van dit soort routers die (semi-publiek) netwerk verzorgen bij cafés bvb.

Juist daar is dit soort informatie ook veel interessanter, want je kunt dus als 3e partij ‘tracken’ wie er verbinding mee heeft gemaakt.
Nee, niet eeuwig. Maar Linksys vond dat mijn >350 euro high-end router van hen binnen een jaar of 3 toch wel oud was en stopte met updaten. Een jaar later kon ik hem niet eens meer benaderen in firefox want de https was zo onveilig dat firefox de admin pagina toegang blokkeerde. Toen heb ik een op het moment van koop al 3 of 4 jaar op de markt zijnde router gekocht, welke met openwrt uitstekend wordt ondersteund tot op de dag van vandaag en, ik wed, nog heel wat jaartjes in de toekomst. Hij komt tenslotte uit 2013, dus dat kan nog makkelijk 10 jaar bijgehouden worden... TP-Link zelf is daar in 2018 mee gestopt, of 2017 als je het US model had (wat pas in 2014 op de markt kwam, da's dus maar 3 jaar support, een matige 4-5 jaar voor de rest van de wereld).

Dus ja, open source zou wel iets veranderen - de fabrikanten geven het na 3-4 jaar al op, een goede fabrikant doet 5 jaar. de community houd het vaak makkelijk 10-15 jaar vol. Nogal een flink verschil, 2x tot 5x langer.
Linksys kan het niet reproduceren. Hoe ze vervolgens tot de conclusie komen dat het met firmware uit 2014 opgelost zou zijn is raadselachtig. Een voorbeeld van de onderzoeker toont dat het om firmware uit 2018 gaat. Dat vraagt om meer onderzoek dan gedaan lijkt.

Wat ik jammer vind is dat de onderzoeker niet aangeeft hoe die tot de conclusie komt dat het aan de standaard firmware zou liggen. Hij lijkt een scan te hebben gedaan, op miljoenen linksys apparaten slechts een paar duizend apparaten gevonden te hebben, en legt het probleem om het te verklaren en op te lossen vervolgens bij linksys. Ik lees niet dat de moeite is genomen te bewijzen dat het niet om een foute ontsluiting van de apparaten gaat of onofficiële firmware. Als onderzoeker heb je ook de verantwoordelijkheid om je eigen beweringen grondig te verifiëren.
Ze kunnen het niet reproduceren met hun huidige firmware en blijkbaar alleen tot die firmware van 2014.

Als je niet met de aangegeven stappen van de 'onderzoeker' het probleem kunt reproduceren, dan kun je weinig doen. Maar dat betekent dus ook dat de 'onderzoeker' mogelijk zelf nog met oude software werkt of dus bij anderen probeert.
Als een onderzoeker duizenden voorbeelden heeft en een voorbeeld is dat het in recente (2018) firmware zit, dan lijkt het mij wat simpel om als producent te stellen dat het probleem in 2014 verholpen is en het maar te sluiten als het ze niet meteen lukt om te reproduceren.

Wat opvalt in de reactie van linksys is dat ze het niet kunnen reproduceren als de firmware de standaard instellingen heeft. Ze schrijven dus niet dat ze het niet kunnen reproduceren.

Het lijkt er dan op dat Linksys het niet als een bug ziet als iedereen van het internet zonder enige vorm van authenticatie gevoelige gegevens kan uitlezen als een gebruiker ook maar iets wijzigt in de configuratie. En dat zou wel wat vreemd zijn gezien de firmware nergens duidelijk maakt welke configuratie het mogelijk moet maken dat je zonder authenticatie deze gegevens moet kunnen uitlezen.
Als je op de inlogpagina kan komen is het toch per definitie makkelijk om er achter te komen of het standaardwachtwoord nog gebruikt wordt? Je voert het in en voila, je komt er wel/niet in.
Of gaat dit over routers die een uniek standaard wachtwoord hebben?
Wat ik uit het twkr bericht haal is dat je aan de wan kant kan achterhalen of het default ww nog actief is, ook al is de gui zelf dat niet. Met die info kan je dan actief proberen om aan de lan/wifi kant verbinding te maken..
Edit:als deze 'bug' idd alleen werkt als gui vanaf wan open is dan is eea wel een erg open deur, vooral dat je kan achterhalen of default ww nog actief is. Kan me haast niet voorstellen dat dat het geval zou zij. Te open deur

[Reactie gewijzigd door tonkie_67 op 19 mei 2019 22:44]

Ik heb zelf een Linksys EA7500 router, en ik heb een account voor cloud access, zo kan ik gemakkelijk aan mijn router, maakt niet uit waar ik ben, en kan alles bekijken/beheren via de app. Vond het handig.

Ik heb deze leak proberen te reproduceren, en ik zelf kon het ook niet. Ik zit dan in de laatste firmware versie, naargelang automatische updates aan staat, wat volgens de post een versie is die deze lek bevat. Echter kon ik de aangegeven data niet bemachtigen, het enige wat ik kon zien is mijn Wachtwoord hint. Dat is alles.

Ben benieuwd wat de oorzaak dus effectief is.
Ik heb zelf een Linksys EA7500 router, en ik heb een account voor cloud access, zo kan ik gemakkelijk aan mijn router, maakt niet uit waar ik ben, en kan alles bekijken/beheren via de app. Vond het handig.

Ik heb deze leak proberen te reproduceren, en ik zelf kon het ook niet. Ik zit dan in de laatste firmware versie, naargelang automatische updates aan staat, wat volgens de post een versie is die deze lek bevat. Echter kon ik de aangegeven data niet bemachtigen, het enige wat ik kon zien is mijn Wachtwoord hint. Dat is alles.

Ben benieuwd wat de oorzaak dus effectief is.
Heb je op alle driehoekjes geklikt om alles sub niveaus te bekijken? De password hint is een van de vier JNAP's die ik zie. Ga ze allemaal eens af en klik alles open. Ik heb een WRT 1900ACS v1 met de laatste firmware vermeld in de bron en ik kan het wel reproduceren.

https://imgur.com/a/kdRM8Ga

Nu zit mijn router achter de modem van mijn ISP, dus de router heeft geen publiek IP-adres. Ik kan het dus enkel lokaal reproduceren. De Linksys app werkt bijvoorbeeld ook niet van buitenaf en ik heb geen Smart Wi-Fi account. Maar toch, als ik gasten heb, hoeven zij niet al deze gegevens te zien!
Je hebt gelijk. Ik heb het gemist. Ik kan inderdaad al de device namen en hun mac adressen zien. Maar ik realizeer mij nu dat ik dit enkel kan doen als ik geconnecteerd bij naar mijn router.

Vanuit andere locaties, of via 4g, kan ik niet geraken op de linksys pagina van mijn router, gebruikmakend van het router zijn publieke IP Adres. (Nu ik heb ook een model waarnaar deze router is geconnecteerd, maar het is geen modem-router combinatie. Dus enkel een modem)

En ik ben eens met u over het feit dat deze gegevens toch zichtbaar zijn voor mensen die geen admin rechten hebben op deze device, ook al zijn ze geconnecteerd naar mijn router.

[Reactie gewijzigd door QUICKSORT op 19 mei 2019 21:16]

zelf draai ik ook de laaste versie [EA8300] en ik kan het ook vinden in de Jnap gegevens.

zelfs het WW van het gastnetwerk staat erin [zet het zelf alleen aan als er gasten zijn anders staat het uit]

OOK het WW van het normale Wifi staat in de Jnap gegevens.


zelf gebruik ik niet eens het standaard WW, heb een 16 symbol string gemaakt van random symbolen, weet dus mijn eigen WW niet eens uit mijn hoofd

mijn hint is zelfs niet eens van toepassing om het te raden
ga het mischien zelfs verlengen naar een 64 symbol string

[Reactie gewijzigd door darknessblade op 20 mei 2019 12:12]

Nu staat dat het een bug is, maar als het een router van Chinese makelaardij stond, dan zou het 100% worden gezien als backdoor. Het zou mooi zijn als alle routers ook op deze manier benaderd zouden worden, zodat de media en het publiek niet direct partij kiest en met een vinger gaat wijzen.

In dit geval ziet het er inderdaad uit als een bug of wellicht zelfs ongepatchte routers. De vraag die ook bij mij opkomt, hoe lang geven router/netwerk fabrikanten ondersteuning voor hun apparatuur. Een consumenten router gaat al snel 8-10 jaar mee, maar de software ondersteuning stopt al na een jaar of 3. Soms worden bugs ook nog wel opgelost op oude netwerk apparatuur zoals de heartbleed patch.

p.s. een lijst met bugs in routers, is onder andere hier terug te vinden:
https://routersecurity.org/bugs.php

[Reactie gewijzigd door Kiswum op 19 mei 2019 15:41]

Nu is China ook een land dat onder 100% controle staat, terwijl wij "in het westen" nog steeds druk doende zijn om dat tegen te houden in onze maatschappij, onder het principe "privacy". Vanuit Chinees oogpunt is een bug als deze per definitie een backdoor die wijdverspreid misbruikt zál worden, terwijl dat in onze contreien enkel geldt voor de NSA en geheime diensten.

VB: In China wordt je auto per definitie geflitst in de stad, elke kilometer, in high-res. Zij tracken hun bevolking alsof het fokvee is. In Europa zien we dat vooral aan de grenzen (inkomend en uitgaand verkeer) en bij snelheidsovertredingen.
Dit is precies de reden waarom eigenlijk alle routers opensource software zouden moeten kunnen ondersteunen zodat je een alternatief hebt om op over te stappen als er iets niet klopt/ niet gefixt gaat worden.
Open Source gaat ook niet helpen tegen configuratieblunders. Deze 'bug' is afhankelijk van een oerstomme configuratieblunder. Je moet aangeven dat management vanaf het WAN mag gebeuren. Ofwel: je zet je modem open voor de hele wereld en je hoopt dat niemand raad dat het wachtwoord 'Welkom123' is, en dat er geen bugs in de webinterface zitten.
Waarom is dat een blunder? Het is een afweging die iedereen kan maken. Vrij normaal dat webinterfaces worden gebruikt voor management. Niet veel anders bij wordpress, plesk, etc, etc. Natuurlijk is een router wel een kritiek punt voor een netwerk, maar routers die geen webinterface open hebben staan, zoals Cisco, zijn net zo goed vaak lek met 'standaard' bugs. Bovendien worden consumentenrouters op andere manieren op afstand beheerd door providers. Die protocollen kunnen net zo goed lek zijn al een webinterface. Zie de badexperienceboxen van KPN met alle lekken.
Vrij normaal dat webinterfaces worden gebruikt voor management.
Zeker, betekend niet dat je deze webinterface voor het internet openbaar moet zetten.
Niet veel anders bij wordpress, plesk,
Ja lekker lijstje, als je waardevolle data hebt kom je niet bij deze oplossingen uit.
maar routers die geen webinterface open hebben staan, zoals Cisco,
De webinterface is altijd op iedere firewall/router openbaar te maken. Dat Cisco geen 1 click button hiervoor heeft betekend niet dat de mogelijkheid er niet is. Alleen bij Cisco en overige zakelijke spelers weten ze dat hun klanten geen producten gebruiken met dit soort 1 click uiterst debiele security settings.
Bovendien worden consumentenrouters op andere manieren op afstand beheerd door providers
De modems ja, ik mag hopen dat jou provider geen toegang heeft tot je router en dat de provider deze mgmt interface niet voor het hele internet open zet.

Beetje vervelend dat ik je comment zo uit elkaar trek maar je vraagt waarom het een blunder is en ik wil je tonen dat dit soort problemen alleen maar voorkomen als je 5 keer achter elkaar kiest voor de makkelijke oplossing ipv de juiste oplossing.

Vandaar dat ik me achter Burne schaar dat dit zeker een configuratie blunder is.

Ik kan me voorstellen dat deze functie is geintroduceerd om de nitwits met dubbele vernattingen de mogelijkheid te geven om vanaf hun thuis netwerk 'de router op zolder' met dubbele vernatting te configureren.

Simpel product voor simpele zielen en dan krijg je dit.
De modems ja, ik mag hopen dat jou provider geen toegang heeft tot je router en dat de provider deze mgmt interface niet voor het hele internet open zet.
genoeg providers die modem/routers leveren, zo krijg je er van telenet eentje standaard die je enkel vanop een webinterface van de provider (dus niet rechtstreeks) kan configureren
Dat doet echt pijn om te lezen :|
hij zit geïntegreerd in de interface waar je ook je producten beheerd, dus als ze daar op raken, kunnen ze ook abbo's afsluiten/aanpassen/opzeggen, facturatiegegevens zien, ... ik ga er dus gemakkelijkshalve van uit dat ze met een paar miljoen klanten de security daarvan wel op orde proberen te houden ;)
De security hiervan is echt niet goed. Het is redelijk makkelijk om hier op te geraken bij bedrijven. En ja dit is al aan telenet gemeld en hun reactie was van dat ze dit niet gaan oplossen.
Het gaat er niet om hoe nuttig het kan zijn om via WAN services te ontsluiten. In het algemeen is het niet verstandig een (beheer)configuratie in te stellen zonder te weten wat de gevolgen zijn. Open-source maken kan helpen om inzicht te geven. Dat inzicht is er nu niet dus neemt de gebruiker een flink risico. Wat is daar verstandig aan?
Open-source is interessant als de community verder ontwikkelt wanneer de fabrikant stopt. Er staan echt zeer veel oudere routers bij mensen thuis die al jaren geen updates meer krijgen (de vraag is zelf of men de laatste firmware heeft opgeladen, vermoedelijk niet).
Van de week kwam erg nog een exploit langs voor IOS XR die ook afhankelijk is van een bereikbare webinterface. Dan hebben we het bijvoorbeeld over ASR9000 die ettelijke tonnen kosten. (Ik zie een tweedehandsje op ebay voor $375000).

Mitigatie: zorg dat de webinterface niet bereikbaar is vanaf iets anders dan vertrouwde netwerken.

Management vanaf een niet-vertrouwd netwerk is altijd een oerstomme blunder. Zelfs Cisco’s die meer kosten dan je huis bevatten domme bugs. Als de hele wereld daar bij kan moet je van de hele wereld wakkerliggen.
Waarom is dat een blunder? Het is een afweging die iedereen kan maken
Nou een blunder configuratie ..bug misschien?

Vast niet deze CVE maar ik heb jaren terug bij 2 typen Linksys ASUS routers ontdekt (en gemeld) dat die de WAN setting niet goed toepast. De webinterface bleef vanaf internet bereikbaar.

[Reactie gewijzigd door Barryke op 19 mei 2019 18:04]

Web interface kan best achter een vpn zitten, hoeft niet publiek te zijn hoor. De laatste keer dat ik keek was openvpn nog best veilig.je kan dan via de VPN inloggen en je router benaderen alsof het vanaf de lan zijde is. Geen rocket science
Er wordt ook best veel openWRT ondersteund maar dat zijn vaak de duurdere routers. De ISP's leveren routers en dan willen ze juist niet dat jij daar veranderingen op aanbrengt omdat de ondersteuning dan duurder/lastiger wordt.

je mag wel altijd je eigen modem/router plaatsen. Een gevalletje stemmen met je euro als je zelf een modem gaat kopen of de juiste ISP uitkiezen.
Er wordt ook best veel openWRT ondersteund maar dat zijn vaak de duurdere routers.
Er zijn zat goedkope routers die OpenWRT ondersteunen. Dat gaat van de kleinste TP-Link TL-WR703N tot aan de grotere TP-Link Archer C7 V2 (inclusief NAT met hardwareacceleratie) en verder.

Met OpenWRT moet je kijken naar het model en de chipset en of deze ondersteund worden. In elk segment is er wel wat te krijgen.
Of je gebruikt gewoon een simple PC met Linux er op en je bent 100% zelf in controle. Je hoeft er bijna niks op te draaien, zeker geen web-UI, wat enorm scheelt in de potentiële attack-surface.

Mijn routertje accepteert geen enkele verbinding van buiten en is alleen te benaderen vanaf het LAN via SSH en dan alleen met public key authentication. Elke firewall regel is met de hand ingevoerd en ik weet dus exact wat er wel en niet doorgelaten wordt en waarom.
Kip-ei verhaal. Als je de technische kennis hebt om Linux te draaien, heb je ook de technische kennis om een Sweex router veilig te draaien. Heb je niet de technische kennis om een Linux router te draaien, dan is je Linux bak misschien wel onveiliger dan een Sweex.
Als je die kennis niet hebt dan moet je sowieso niet zelf gaan lopen prutsen maar een professional inschakelen, net als dat je zelf niet moet gaan lopen prutsen met je electriciteits of gas aansluiting.
Ik hou wel van wat gemak, dus ik draai Sophos UTM9. Eigenlijk zo goed als hetzelfde verhaal, maar dan met een makkelijke en goed te configureren webgui ;)
Sterker nog dat zou verplicht moeten worden gesteld, er moet altijd opensoft op kunnen draaien en dit niet onmogelijk / onklaar gemaakt zijn.
Weer die naieve gedachte dat opensource veiliger is. Naast de gedachte dat opensource ook onderhouden zou worden.
Dat is al een tijdje niet meer zo
Sorry... Belkin. Ook USA 😉
Weer fout. Belkin is van Foxconn en dat is Taiwanees.

Het gaat uiteraard niet om het "fout", maar wat is het makkelijk om op de VS te bashen. Waar ik vandaag eens over zat te peinzen ... Ik kreeg van KPN een maand of wat geleden een nieuwe Digitenne ontvanger. Blijkt de nieuwe doos van ZTE te zijn. Vandaag zat ik te spelen met een telefoon van schoonmoeders. Een Huawei met "fingerprint" sensor. Als de achterdeurtjes inderdaad bestaan liggen vingerafdrukken inmiddels zowel in China als de States en is kijkgedrag ook bekend in in ieder geval China. De thuisdoos is van Humax, met internet verbonden en zo weet Zuid Korea ook wat ik vrouw/kinderen kijken. Dat zal overigens alleen maar verwarring opleveren.

In die zin, ja, privacy is ver te zoeken ... Heb het boekje "Je hebt wel wat te verbergen" nog liggen. ga het toch maar eens lezen ...

[Reactie gewijzigd door Houtenklaas op 19 mei 2019 21:41]

Wikipedia is ook niet meer Wat het is geweest.... https://nl.m.wikipedia.org/wiki/Belkin
Met zoveel wisselingen is het bijna zo dat iedereen met iedereen meekijkt ben ik bang 🙄

[Reactie gewijzigd door jpfx op 19 mei 2019 22:15]

Linksys, onderdeel van Cisco.
Linksys is sinds 2013 geen onderdeel meer van Cisco.

[Reactie gewijzigd door RefriedNoodle op 19 mei 2019 12:06]

Je zou bijna zeggen dat met alle lekken/bugs/backdoors in de netwerkapparatuur van de laatste tijd het tijd is om internet af te schaffen en terug naar de tekentafel te gaan :+
Mwah om eerlijk te zijn vind ik deze niet spannend. Als eerst moet de inlogpagina uberhaupt beschikbaar zijn aan de WAN kant. Ik hoop dat geen consumentenrouter dat meer standaard heeft, want bijna geen consument heeft daar wat aan.

Zelfs als dit het geval is, kunnen ze dus twee dingen doen:
1. Kijken of het standaard wachtwoord nog ingesteld is. Fascinerend natuurlijk, behalve dat ze die ook gewoon kunnen intikken. Als het een standaard wachtwoord is dat uniek is voor elk device, schiet je er nog niks mee op lijkt mij.

2. Zien welke MAC adressen ooit ermee verbonden zijn geweest. Tja, het hoort natuurlijk niet, maar ik kan er ook niet echt van wakker liggen.
En dit is exact de reden waarom ik pfSense gebruik :^)
Want daar kunnen geen bugs in zitten? Beetje naïef
Cisco, linksys en apple allemaal bannen als huawei licensie verliest, tijd dat de eu zn tanden laat zien, grote bek over privacy maar iets doen ho maar.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Consoles

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True