Taiwanese autoriteit: D-Link-routers hadden Telnet-backdoor

De Taiwanese IT-autotiteit TCERT/CC waarschuwt voor een gevonden kwetsbaarheid die het mogelijk maakt om in te breken op routers van D-Link met een backdoor die de fabrikant zelf niet eerder heeft gemeld.

Het Taiwan Computer Emergency Response Team / Coordination Center zegt in een waarschuwing dat via LAN aanvallers de router door de backdoor kunnen forceren om telnet te activeren door een specifieke URL te bezoeken. Daarna kunnen aanvallers met adminrechten inloggen.

De Taiwanese autoriteit stelde D-Link in april op de hoogte en de fabrikant heeft zondag een update gepusht naar de getroffen routers. De fabrikant erkent de bug. D-Link adviseert gebruikers om te checken of de automatische update is geïnstalleerd.

Model	Versie na update	Model	Versie na update
E15	v1.20.01	R03	v1.10.01
E30	v1.10.02	R04	v1.10.01
G403	v1.10.01	R12	v1.10.01
G415	v1.10.01	R15	v1.20.01
G416	v1.10.01	R18	v1.10.01
M15	v1.20.01 & v1.21.01	R32	v1.10.02
M18	v1.10.01	M30	v1.10.02
M32	v1.10.02	M60	v1.10.02

Reacties (58)

Marctraider 18 juni 2024 20:00

En daarom lekker openwrt.

TrekVogel @Marctraider • 18 juni 2024 20:24

Goed als je weet wat je doet. Open is natuurlijk prachtig. Maar helaas niet voor iedereen. Dan is het zaak om iets te kopen dat regelmatig updates krijgt. In de betaalbare/consumenten klasse is dat helaas zeldzaam en de eindgebruiker kan het meestal aan z'n r**t roesten. UniFi is goed, ik ben er blij mee, maar wat moet ik een leek aanraden? Ik krijg mijn (schoon) ouders niet zover om dat aan te schaffen.

r2504 @TrekVogel • 18 juni 2024 20:30

Voor je ouders maakt het toch niet uit zolang het maar werkt... en jij kan de Unifi gewoon remote beheren (al is de vraag wat je nog moet beheren na de initiele setup).

TheVivaldi @r2504 • 19 juni 2024 11:09

Maar wat nu als je dat ineens niet meer voor ze kunt beheren? Het leven in onvoorspelbaar en je zult dan toch een plan B moeten hebben. En als je dat niet hebt, dan is de fabrikant niet het slechtste plan A.

r2504 @TheVivaldi • 19 juni 2024 13:11

En waarom zouden ze een D-Link (of welk merk dan ook) wel kunnen "beheren" en een Unifi niet ?

Een Unifi gaat zichzelf trouwens netjes automatisch upgraden (en bieden ook heel wat updates aan) wat je van andere merken niet echt kan zeggen.

Captain Jorg @r2504 • 19 juni 2024 14:54

Ik denk dat prijs de reden is voor veel (schoon) ouders.
Een D Link router zie ik hier aangeboden voor 50 euro. Een beetje wifi6 unifi systeem gaat een veelvoud kosten.

r2504 @Captain Jorg • 19 juni 2024 20:55

Inderdaad... x3 ... 143.99 euro voor de https://eu.store.ui.com/e...loud-gateways/products/ux

iqcgubon @TrekVogel • 19 juni 2024 07:50

Bij mijn schoonouders draait Omada net zoals bij mezelf. Gewoon 1 keer opzetten, auto-update en backups enablen en je hebt er geen omkijken meer naar. Maar zij hebben nu wel overal goeie wifi.

sircampalot @Marctraider • 18 juni 2024 21:01

In elk pakket kunnen kwetsbaarheden zitten, en het is aannemelijk dat die er ook in zitten.
Als DLink nou heel laks zou zijn geweest in het uitgeven van een fix, dan zou een pleit voor opensource/communitydriven een basis hebben

Frame164 @Marctraider • 18 juni 2024 21:05

In openwrt zit ook telnet. Als iemand die per ongeluk enabled kan je er ook in.

309electronics @Marctraider • 18 juni 2024 23:20

Ik ben het eens dat het niet hoort om telnet te activeren via een url (ik kan in mijn audio streaming board als ik een specifieke http url invoer) maar zelfs openwrt bevat busybox met telnet. Telnet is een vaste applet in busybox en bijna elk Os gebasseerd op Linux gebruikt nou eenmaal busybox. Ook hebben de meeste telnet in de (standard) config zitten. Maar het is inderdaad wel de fabrikant die verantwoordelijk is voor goede beveiliging (tegen het zomaar activeren van telnet). En een sterke password hash in de etc/passwd en etc/shadow file die niet makkelijk te kraken is. En het password moet nou ook niet te makkelijk of te veelgebruikt zijn zoals root of admin of 0000 etc etc....

Audione0 @Marctraider • 18 juni 2024 20:13

Zijn er al wifi 6e of 7 routers/accesspoints te koop die met openwrt geflashed kunnen worden?

DieMitchell

@Audione0 • 18 juni 2024 20:22

de banana pi bpi-r4.

Shuriken @DieMitchell • 19 juni 2024 16:10

Is dat een standaard Openwrt of een custom van de fabrikant zelf?

DieMitchell

@Shuriken • 19 juni 2024 17:08

Standaard openwrt naar mijn weten

screenager @Marctraider • 19 juni 2024 19:01

Openwrt en DD-wrt zijn een prachtig initiatief, mits je geen Broadcom meuk in je router hebt zitten.

MGutker 18 juni 2024 20:07

Dit klinkt bijna als een intentionele reset feature dan een bug, zo stom is het.

dasiro 18 juni 2024 20:05

Elke backdoor wordt een bug genoemd eens hij ontdekt wordt

We zullen wel nooit te weten komen voor welke overheidsdiensten die allemaal (toegankelijk) gemaakt was.

Arjan P @dasiro • 18 juni 2024 20:10

Maar je weet dus wel dat het bewust gedaan is, en voor een overheidsdienst. Bron?

jesse! @Arjan P • 18 juni 2024 20:18

Hoezo moet het bewust gedaan zijn? Kan ook een foutje zijn geweest.
Inb4 hoe je zoiets perongeluk kan doen. Door het perongeluk in een productie release te plaatsen. Misschien was het om iets te testen, of was het voor bepaalde devices alleen bedoeld.

Kans is natuurlijk ook aanwezig dat het wel opzet was, we zullen het vast nooit te weten komen.

latka @jesse! • 18 juni 2024 20:40

Die telnet binary komt er niet vanzelf op. Dus ja, die is er bewust door DLink opgezet. Dan de 'enable via URL' is er ook niet vanzelf gekomen. Die heeft iemand van/voor DLink geprogrammeerd. Dus het is zowiezo opzet. Of het kwaadwillend was, dat zullen we nooit weten.

Tozz @latka • 18 juni 2024 20:47

Die telnet binary kon heel goed gewoon onderdeel zijn van bv. Busybox. Dat hoeft niet perse een bewuste actie geweest te zijn. Dat 't te enablen is via een URL uiteraard wel, maar kan ook een vergeten debugging/testing tool zijn.

De bug is alleen te exploiten via de LAN-kant, wat de kans dat 't moedwillig is toegevoegd voor bv. opsporingsdiensten of andere kwaadwillenden niet zo groot is. Ik maak er ook niet uit op dat je kunt inloggen met *default* credentials. Je moet alsnog wel de administrator login hebben.

latka @Tozz • 18 juni 2024 21:01

Dan is busybox gecompileerd met de telnet code erin. Ook dat gaat niet vanzelf.

ouweklimgeit @latka • 18 juni 2024 21:23

En aan de achterkant van het apparaat zit een reset knop waarmee je de admin credentials kunt resetten. Wat wordt hier een drama van gemaakt zeg, het is gewoon een consumenten apparaat dat alleen vanaf de LAN kant een onbekend beveiligingsprobleem heeft. Nou, nou, nou wat een risico's.

kodak @ouweklimgeit • 19 juni 2024 10:07

De backdoor is zonder credentials te activeren en daarna met default admin credentials te gebruiken door heel het internet.
Als iemand vanaf een lan een website bezoekt, of een mailtje opent of een app gebruikt die als 'afbeelding', 'css' enz de url opvraagt veroorzaakt dat dus een groot probleem. Niet alleen voor iedereen op het lan maar ook het internet. Want vaak worden dit soort apparatuur dan gebruikt voor verder crimineel gedrag om andere aan te vallen. Bijvoorbeeld voor verspreiden van ransomware, spam en phishing of uitvoeren van denial of service aanvallen.
Waarbij je natuurlijk niet hoeft te verwachten dat alleen maar thuisgebruikers deze apparatuur gebruiken, terwijl er in Nederland ook een miljoen zelfstandigondernemers en heel veel kleine ondernemers zijn die net zo goed dit soort apparatuur gebruiken.

ouweklimgeit @kodak • 19 juni 2024 14:05

Er staat nergens dat de telnet service aan de WAN kant geactiveerd wordt, het hele CVE gaat over 'local area network'.

kodak @ouweklimgeit • 19 juni 2024 16:39

Dat dacht ik eerst ook. Maar de uitleg over wat via het LAN nodig is gaat specifiek over de URL om de telnet service te starten. Er staat niet dat de telnet service daarna alleen op het LAN actief is.

Het probleem met deze security bug is dat het er eigenlijk twee zijn. De eerste is zonder authenticatie via het LAN een service kunnen starten terwijl alleen een admin dat hoort te kunnen. Het andere is een telnet service die met in de firmware te achterhalen credentials te gebruiken is. Waarbij men bij het laatste niet duidelijk is onder welke omstandigheden die credentials bruikbaar zijn en niet duidelijk is voor wie de ongeauthoriseerde service bereikbaar is.

kodak @Tozz • 19 juni 2024 11:36

Er is geen enkele redelijke oorzaak om als fabrikant code van anderen te gebruiken en dan geen weet te hebben van dit soort slechte beveiliging. Dat komt eerder neer op opzettelijk risico negeren.

De bron stelt daarbij dat de admin credentials via de firmware verkrijgbaar zijn. Dat zijn meestal default credentials (die diverse modellen niet zouden hebben) of hard coded credentials. En beiden zijn security blunders die een professionele fabrikant niet hoort te maken.

Mijzelf @latka • 18 juni 2024 20:48

Wat die url betreft ben ik het met je eens. Maar telnetd is vast een busybox applet. Dus dat kan een configuratie foutje zijn.

309electronics @latka • 18 juni 2024 23:24

Meestal hebben fabrikanten een busybox default config met telnet erin. Vaak voor debugging purposes waardoor een engineer zonder het apparaat open te maken en de uart port op te zoeken het systeem kan controleren en testen. Al wel raar dat er geen sterk wachtwoord op staat....

kodak @jesse! • 18 juni 2024 20:58

Als het geen opzet was om dit in productieapparatuur toe te laten dan lijkt er zeer slechte kwaliteitscontrole te zijn. Het gaat namelijk kennelijk zowel om het niet herkennen van een URL die niet aan te verwachten beveiligingseisen voldoet als het toepassen van hardcoded credentials in de firmware wat ook niet aan te verwachten beveiligingseisen voldoet. Als bedrijf heb je dan wel wat uit te leggen en als klanten genoeg redenen om bij de fabrikant om verantwoordelijkheid te eisen hoe waaruit blijkt dat ze dit soort beveiligingsproblemen veroorzaken en niet op tijd herkennen.

dasiro @Arjan P • 18 juni 2024 20:50

een backdoor is quasi per definitie bewust ingebouwd, daar komt ook de benaming van: een met opzet minder goed beveiligde manier om binnen te geraken.

van bij techradar:

Cybersecurity researcher Netsecfish, who discovered the flaw, found multiple instances of D-Link’s NAS devices have an arbitrary command injection flaw in the “system” parameter, and a hardcoded account that can be used to access the device.

Arjan P @dasiro • 19 juni 2024 01:11

Okee, en waar is jouw bron voor de suggestie dat het voor 'een' overheid is gedaan?

n4m3l355 @Arjan P • 19 juni 2024 04:41

Dat is nou net het probleem met Chinese hardware. Waar in het westen de overheid wel vriendelijk kan vragen voor het inbouwen van een backdoor, in China hoeft men die vraag niet te stellen. Zowieso kun je er wel vanuit gaan qua beveiliging dat de overheid daar een op een mee samen zit, immers te goed beveiligde hardware komt hier het land niet in. Daarnaast conform D-Link eigen memorandum, moeten ze de overheid volgen, partij ideals staan in hun eigen Memorandum dat is verplicht.

Zolang de overheid eist volledige toegang te hebben tot bedrijven, kan geen enkel Chinees bedrijf garanderen dat dit soort perikelen zoals we ook hier zien, niet het gevolg zijn van de wensen van hun eigen overheid.

De oplossing is dan ook simpel, china dient hun wetgeving in het vertrouwen van de consument op te stellen, niet van de overheid en totdat dit verandert zouden Chinese bedrijven uitgesloten moeten blijven op voorhand van aanbestedingen in het westen. Dit is een keus die china maakt, niet de EU.

pHennyWise @n4m3l355 • 19 juni 2024 07:15

D-Link is Taiwanees, niet Chinees.

StefanTs @pHennyWise • 19 juni 2024 10:22

Stiekem heet Taiwan de republiek China. Je kunt natuurlijk onderscheid maken tussen de volksrepubliek China en de republiek China maar bijna geen enkel land erkend de republiek China als land. Dat maakt D-link wel degelijk Chinees.

TheVivaldi @StefanTs • 19 juni 2024 10:47

Maar er is dan nog wel steeds een verschil in intentie, want Taiwan is nu niet bepaald goede vriendjes met de Chinese overheid van de Volksrepubliek China. In tegendeel, zelfs. Dus het maakt alsnog wel een verschil door wie je bespioneerd wordt (áls dat de intentie hier was, want dat weten we dus niet).

Skit3000

@dasiro • 18 juni 2024 21:07

Of het was code dat werd gebruikt om testen te vergemakkelijken, en dat men vergeten is er uit te halen.

sircampalot @Arjan P • 18 juni 2024 20:58

Maar je weet dus wel dat het bewust gedaan is

Dat is niet wat @dasiro zegt.

Arjan P @sircampalot • 19 juni 2024 01:10

Hij suggereert dat het voor een overheidsdienst gedaan is, 'we' weten alleen niet welke. Dus impliciet is dat wel wat hij zegt. En daarom vraag ik naar een bron omdat ik een beetje allergisch ben voor complottheorieën.

dasiro @Arjan P • 19 juni 2024 07:30

"it's not a conspiracy when they're really after you".
Zowel de VS als China en waarschijnlijk nog andere mogendheden misbruiken hun bedrijven voor eigen doeleinden, maar daar zullen ze geen pdf'je voor online zetten. Daarom ook direct de 2e regel van m'n eerste post.

TheVivaldi @dasiro • 19 juni 2024 11:04

Maar het gaat hier niet om de VS of China, maar om Taiwan.

dasiro @TheVivaldi • 19 juni 2024 17:05

3x raden wie de grote beschermheer van Taiwan is en die doen dat niet uit naastenliefde

TheVivaldi @dasiro • 19 juni 2024 17:36

Beschermheer? Dat wil Taiwan nu juist niet.

dasiro @TheVivaldi • 19 juni 2024 18:08

spoiler: het is niet china, je mag nog 2x proberen

TheVivaldi @dasiro • 19 juni 2024 20:33

Weet ik, maar Taiwan wil juist geen beschermheer, ook niet de VS.

dasiro @TheVivaldi • 19 juni 2024 20:39

De moment dat ze dat zeggen en de VS hun schepen huiswaarts sturen staat een half uurtje later de eerste Chinese soldaat al op het eiland.

Salvatore.NL @dasiro • 18 juni 2024 21:37

Ja want D link consumenten zijn heel interessant voor de overheidsdiensten 😂.
Beetje low budget spul. Denk niet dat Een bedrijf of instantie met dit soort spul werkt.

Dus houd je Jan de visboer en John de stratenmaker over.

Eric Oud Ammerveld @Salvatore.NL • 19 juni 2024 09:54

Besef dat iedere persoon werkend bij een overheidsdienst evengoed een -consument- is en in de regel niet een die professionele / industriële netwerkapparatuur thuis heeft draaien.

Mensen afpersen of kennis opdoen rond hun relaties kan een heel mooie manier zijn om toch pressie uit te oefenen om zaken voor elkaar te krijgen.

Keypunchie @Salvatore.NL • 19 juni 2024 09:04

Of Mark de minister.

Zeker met de enorme toename in thuiswerken, is daar ook een kwetsbaarheid ontstaan, zeker voor overheidsdiensten.

Het is lastig, want komt in het prive-domein, maar naast de gebruikelijke device-beveiliging, geven we in ons bedrijf als onderdeel van "information security" ook tips voor beveiligen van je thuisnetwerk.

Niet dat dit veel spannender wordt dan "gebruik WPA3, zet automatisch updaten van je router aan", maar dit is een dimensie die je niet over het hoofd moet zien.

TheVivaldi @Keypunchie • 19 juni 2024 11:07

Exact. Budget zegt niets over wie de gebruikers zijn. Er zijn ook politici die op de omafiets naar hun werk gaan of zelfs met het OV in plaats van in een dure auto, dus wie zegt dat ze thuis geen budgetrouter kunnen hebben staan? Je koopt iets waarvan je denkt dat het werkt en dat je aanspreekt, en dat hoeft niet altijd duur spul te zijn, zelfs niet áls je het kunt betalen.

MilanSxD @Salvatore.NL • 19 juni 2024 09:24

Je wil niet weten hoeveel bedrijven Yealink gebruiken.
En Yealink is nog een stukje goedkoper dan D-Link en ook nog eens Chineese in plaats van Taiwanees.
Niet dezelfde producten, maar wel vergelijkbare mogelijke backdoors.

D-Link wordt wel degelijk toegepsat bij bedrijven.
Misschien niet bij overheidsinstanties, maar van bijvoorbeeld een Zileren Kruis of Achmea zou het mij niet verbazen als daar D-Link of een ander budget merk rondslingerd.

elteck @dasiro • 18 juni 2024 20:58

Geen idee dit gerelateerd is, maar het ssh project was bijna overgenomen door criminelen. Best wel een spannend verhaal: https://blog.gitguardian....compromised-ssh-security/

Frame164 @dasiro • 18 juni 2024 21:04

Het meest logische lijkt mij dat iemand vergeten is telnet te disablen of te verwijderen.

Dreamvoid @Frame164 • 19 juni 2024 10:29

Ik verbaas me keer op keer dat er nog steeds telnet clients op routers staan, in 2024. Ik kwam het onlangs nog tegen op een Draytek router (toch een merk met een aardige reputatie qua security).

jmsaow @dasiro • 19 juni 2024 10:50

Is D-Link een Chinees bedrijf?

dasiro @jmsaow • 19 juni 2024 17:04

Taiwanees, maar die zijn al lange tijd dikke vriendjes met de VS, dus een "wederdienst" zou niet onverwacht zijn.

Op dit item kan niet meer gereageerd worden.

Taiwanese autoriteit: D-Link-routers hadden Telnet-backdoor

Lees meer

Reacties (58)

Sorteer op:

Weergave: