Kritieke kwetsbaarheden ontdekt in DrayTek Vigor-routers

Onderzoekers hebben veertien beveiligingslekken blootgelegd in DrayTek Vigor-routers, waarvan enkele als kritiek worden beschouwd. DrayTek heeft inmiddels patches uitgebracht voor alle gevonden kwetsbaarheden.

Volgens een rapport van cybersecuritybedrijf Censys zijn wereldwijd meer dan 750.000 DrayTek Vigor-routers kwetsbaar voor aanvallen. De meest ernstige kwetsbaarheid, CVE-2024-41592, heeft een CVSS-score van 10 en kan leiden tot een denial-of-service of zelfs volledige controle over het apparaat als deze wordt gecombineerd met CVE-2024-41585. Deze laatste maakt het mogelijk om kwaadaardige code te injecteren in het besturingssysteem van de router. Naast deze lekken zijn er ook meerdere kwetsbaarheden met een hoge ernst ontdekt, waaronder cross-site-scriptingproblemen en een remotecode-executionlek in de Telnet-dienst van de router.

De impact van deze kwetsbaarheden is aanzienlijk. Aanvallers kunnen potentieel volledige controle over het netwerk krijgen. DrayTek heeft patches uitgebracht voor alle gevonden kwetsbaarheden. Gebruikers worden geadviseerd om de firmware van hun router bij te werken naar de nieuwste versie.

Reacties (93)

The Zep Man

Beveiliging en antivirus
Beveiliging

8 oktober 2024 11:57

Aanvallers kunnen potentieel volledige controle over het netwerk krijgen.

Let op dat aanvallers eerst toegang moeten hebben tot het netwerk waarop de admin interface aangeboden wordt. Alleen brak geconfigureerde routers zullen direct via het internet benaderbaar zijn.

nelizmastr @The Zep Man • 8 oktober 2024 11:59

Het zal je verbazen hoeveel Drayteks, toch vooral geassocieerd met MKB bedrijven die ICT altijd te duur vinden, direct aan het internet te benaderen zijn, soms zelfs zonder whitelist of VPN.

FrostyPeet @nelizmastr • 8 oktober 2024 12:12

Dat moet je toch specifiek aan zetten, dat admin panel via de WAN kant benaderbaar is? Default is toch alleen de LAN kant?

Dan ben je als beheerder toch onverantwoordelijk bezig als je het admin panel open en bloot op het internet hangt. Het eerste wat aanvallers doen is scannen naar open poorten (al dan niet met een webinterface).

kodak

Beveiliging en antivirus

@FrostyPeet • 8 oktober 2024 14:14

Zoals ik het lees is er eigenlijk geen duidelijkheid onder welke omstandigheden de nodige services echt niet beschikbaar zijn om via het internet de gevonden problemen te misbruiken. Er zijn verschillende versies software, providers/dienstverleners kunnen de producten aan klanten verstrekken met eigen standaard configuratie enz.
De fabrikant weerspreekt daarbij de risico's ook niet. Dan is het eerder verstandig om er niet zomaar vanuit te gaan dat die services standaard echt niet via het internet te gebruiken zijn.

J_van_Ekris @kodak • 8 oktober 2024 16:16

Zoals ik het lees is er eigenlijk geen duidelijkheid onder welke omstandigheden de nodige services echt niet beschikbaar zijn om via het internet de gevonden problemen te misbruiken. Er zijn verschillende versies software, providers/dienstverleners kunnen de producten aan klanten verstrekken met eigen standaard configuratie enz.

Standaard staat de toegang tot de admin gui vanaf de webkant uit op draytek routers. Dus je moet echt wat actief veranderd hebben wil je kwetsbaar zijn.

[Reactie gewijzigd door J_van_Ekris op 8 oktober 2024 16:16]

kodak

Beveiliging en antivirus

@J_van_Ekris • 8 oktober 2024 16:21

Waarop baseer je dat? Ik lees de fabrikent er geen duidelijkheid over geven. In het onderzoek lees ik het niet terug. En hoe providers/dienstverleners de apparatuur 'standaard' aan eindgebruikers leveren is al helemaal onduidelijk.

[Reactie gewijzigd door kodak op 8 oktober 2024 16:33]

J_van_Ekris @kodak • 8 oktober 2024 16:25

Waarop baseer je dat?

Omdat ik zelf die dingen in mijn netwerk heb zitten en weet hoe ze uitgeleverd zijn af fabriek.

kodak

Beveiliging en antivirus

@J_van_Ekris • 8 oktober 2024 16:49

Zonder verduidelijking hoe dat voor de verschillende versies, leveringen enz representatief is zegt dat vooral iete over een soecifieke situatie die niet zomaar voor anderen van toepaasing is. Daarom verwacht ik duidelijkheid van de onderzoekers en fabrikant die wel genoeg toont dat het werkelijk niet via het internet te mosbruiken is, of dat op zijn minst duidelijk genoeg is dat er onvoldoende zekerheid is en het daarom een zeer hoog risico is tot het tegendeel is bewezen.

J_van_Ekris @FrostyPeet • 8 oktober 2024 16:22

Klopt, WAN-kant staat default uit. Toen ik bij Draytek keek is de laatste release uit begin Augustus, waar een critical update een web gui security oplost. Dus dit lek is 2 maanden geleden al gefixt?

vdws @nelizmastr • 8 oktober 2024 12:06

Als het mét VPN is, dan is het toch niet direct benaderbaar vanaf het internet?

CrankyGamerOG @nelizmastr • 8 oktober 2024 13:11

Dat mag je dan ook de partij aanrekenen die de draytek heeft geleverd, bij ons gaat er geen de deur uit zonder ip filtering.

Anoniem: 718943 @nelizmastr • 8 oktober 2024 15:21

Ik heb deze week nog een webbouwer gevonden die z'n pihole admin interface gewoon aan het internet had hangen. Zonder ww.
Zou wellicht een honeypot kunnen zijn, maar ik betwijfel het.
Ff mailtje gestuurd naar info adres.

Kortom: een hoop MKB-ers prutsen maar een end aan als het gaat om security.

DigitalExorcist @The Zep Man • 8 oktober 2024 12:49

Ik zal Shodan.io eens vragen

EDIT: Snelle zoektocht naar poort 80, Draytek, krijg ik bijna 4000 hits. Als je zoekt op login pagina's van Drayteks kom je op 513.000 uit.

[Reactie gewijzigd door DigitalExorcist op 8 oktober 2024 12:52]

qlum

@The Zep Man • 9 oktober 2024 09:48

Of de draytek routers die odido nog steeds voor een deel van de glasvezel klanten in gebruik heeft. In dit geval is remote access voor de provider de enige redelijke optie.

Jhojo @The Zep Man • 8 oktober 2024 12:02

Helaas ken ik een zzp IT-er die vooral in de achterhoek metaalbedrijven faciliteert de Draytek Routers gewoon met open admin interface aan het Internet heeft hangen. Zijn reactie: Anders is het te omslachtig

DigitalExorcist @Anoniem: 710428 • 8 oktober 2024 13:52

Ik kan ook ZZP'er worden in de IT als ik wil. Maar ik heb wel 25 jaar ervaring en het zou niet in m'n hoofd ópkomen om een management-interface toegankelijk te maken vanaf een normaal productie-VLAN, laat staan het hele internet... zelfs niet als ik de enige ben die beheer doet. Dan maar een VPN-oplossing inbouwen als ik toch iets moet beheren voor een klant.

Niels1232 @DigitalExorcist • 8 oktober 2024 14:11

Als het echt moet kun je hem wel openzetten op WAN maar dan met een whitelist. een IT-er die een management interface openzet voor het hele internet is geen IT-er maar een prutser.

Argantonis @Anoniem: 710428 • 8 oktober 2024 12:37

Wat een vreemde opmerking, jaloers?

Anoniem: 710428 @Argantonis • 8 oktober 2024 15:40

De gemiddelde zzper in de IT heeft niet de certificaten, hoeft geen audits te doen en zit dus net als picobello maar te rommelen. Zat, meer dan zat meegemaakt

[Reactie gewijzigd door Anoniem: 710428 op 8 oktober 2024 15:40]

!GN!T!ON @Anoniem: 710428 • 8 oktober 2024 16:02

In mijn ervaring heeft de 'gemiddelde' ITer die voor 'n baas werkt ook geen certificaten en worden er daar net zo min audits gedaan. De hoeveelheid rommel die ik de afgelopen 15 jaar ben tegengekomen als gedetacheerde lusten de honden ook geen brood van. Dus het differentiëren alleen op basis van wel of geen ZZPer zijn is m.i. volslagen arbitrair.

Anoniem: 710428 @!GN!T!ON • 8 oktober 2024 16:28

detachering, dat is inderdaad nog erger als zzpers

!GN!T!ON @Anoniem: 710428 • 8 oktober 2024 16:43

Voor de gedetacheerde inderdaad

Puinruimen van al die certificaatloze IT'ers

syl765 @!GN!T!ON • 8 oktober 2024 19:12

Geloof mij. Puin maken niet alleen niet gecertificeerde IT'ers.

Argantonis @Anoniem: 710428 • 9 oktober 2024 04:35

Tja, zegt de ‘allround ICT medewerker’ cryptoboy. De meeste bedrijven geven geen donder om certificaten, da’s alleen om ergens binnen te komen, zeker met maar magere vooropleiding.

Zackito @Anoniem: 710428 • 8 oktober 2024 12:28

ZZP IT betekent niet picobello bv.

AWrongUsername 8 oktober 2024 11:57

Netjes dat zelfs van de apparaten die EOL zijn voor Draytek netjes een nieuwe firmwareversie uit wordt gebracht om dit probleem op te lossen, dat is helaas niet altijd vanzelfsprekend tegenwoordig.

Dekar @AWrongUsername • 8 oktober 2024 12:10

Nee, maar dat is ook wel logisch. Kwetsbaarheden in oudere software wordt altijd na verloop van tijd altijd gevonden en je kan niet oneindig blijven patchen. Des te meer respect voor Draytek.

syl765 @AWrongUsername • 8 oktober 2024 19:15

Draytek zijn echt hele fijne modems en de support is ook erg goed. Zijn soms iets duurder maar gaan heel lang mee, ook door het lange update traject.

Ook de helpdesk is uiterst behulpzaam en de documentatie is uitstekend.
Als ik voor een bedrijf een router moet aanschaffen is het altijd een draytek.

De gui is wel een beetje wennen en niet altijd je van het. Maar daar kom je na de initiële configuratie niet zo heel vaak meer.

boxlessness 8 oktober 2024 11:58

Onze provider, Glasnet, heeft in ieder geval al een nieuwe versie gepushed.
Dus wanneer je een router hebt onder beheer van je provider dan is het lek waarschijnlijk al gedicht... mits ze bij de provider hun zaken op orde hebben.

Niek H. 8 oktober 2024 12:25

Ik lees niet zo heel vaak de nieuws artikelen op Tweakers , maar het valt me nu toevallig op dat ik ditzelfde verhaal al 6 dagen geleden voorbij zag komen op Security.nl - Ben benieuwd hoe dat komt / hoe ik dat moet zien? Ligt de prioriteit van posten van dit soort nieuws lager bij Tweakers? Of was hier al een post over en is dit een update?

Gewoon benieuwd naar hoe dat zit.

Drardollan @Niek H. • 8 oktober 2024 18:00

Ze waren even druk met het artikel over een storing bij ASN Bank en daarna een artikel over een storing bij SNS Bank en daarna een artikel over een storing bij Volksbank en daarna een artikel over een storing bij de NS.

Ik kijk tegenwoordig voor het laatste tech-nieuws op AlleStoringen

Aardworm

8 oktober 2024 12:43

Draai al jaren pfsense op mijn eigen hardware en kan het iedereen aanraden, Een stuk stabieler en documentatie is vele malen beter

rookie no. 1 @Aardworm • 8 oktober 2024 21:23

Stabieler dan wat? Draytek routers? Die zijn behoorlijk stabiel en snel ook.
Documentatie is weer wat anders natuurlijk.

Aardworm

@rookie no. 1 • 10 oktober 2024 10:32

Zeker, DrayTek routers kunnen prima presteren, maar wat ik bedoel met 'stabieler' bij pfSense zit 'm vooral in de controle en flexibiliteit die je hebt. Met pfSense kun je bijvoorbeeld zelf de hardware kiezen die bij jouw netwerk past, wat vaak resulteert in betere prestaties en stabiliteit voor specifieke situaties. Daarnaast biedt pfSense uitgebreide logging en monitoring, waardoor je veel sneller inzicht hebt bij netwerkproblemen. Ook kun je met de regelmatige open-source updates sneller inspelen op nieuwe kwetsbaarheden, zonder afhankelijk te zijn van de releases van een enkele fabrikant zoals DrayTek.

Bijkomende voordeel is de combinatie van pfBlockerNG binnen pfSense, een add-on voor het blokkeren van advertenties, "malafide" IP-adressen en zelfs geolocatiegebaseerde filtering. Het kan een grote meerwaarde zijn voor wie extra controle wil over inkomend en uitgaand verkeer.

Dus mijn verwoording "stabilieit" was misschien niet de beste woordkeuze.

[Reactie gewijzigd door Aardworm op 10 oktober 2024 10:47]

Drardollan 8 oktober 2024 15:58

Wel opvallend dat het wéér (deels) in de SSL VPN implementatie zit. Dat is bij heel veel leveranciers van dit soort apparatuur een zeer kwetsbaar deel, bij voorkeur dus nooit gebruiken.

Verder common sense om enigszins up-to-date te blijven en je admin interface niet aan het internet te hangen. Er is werkelijk geen enkele reden te bedenken waarom dat een goed idee is.

Dekar 8 oktober 2024 12:07

Toch maar eens kijken naar een eigen gebouwde router die draait op Linux OPNsense op FreeBSD. Mijn Asus had laatst ook al een kwetsbaarheid.

[Reactie gewijzigd door Dekar op 8 oktober 2024 13:57]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Dekar • 8 oktober 2024 12:12

En dat zal een Linux eigen gebouwde router ook op een gegeven moment hebben (en misschien nog wel eerder). Kwetsbaarheden zijn helaas een fact of life. Het voordeel aan een pre build router is dat het OS vaak specifiek hiervoor samengesteld is en niet meer draait dan nodig wat veiliger kan zijn. Nadeel is dat je afhankelijk bent van een leverancier voor updates maar dat ben je met een eigen bouw op basis van Linux eigenlijk (indirect) praktisch gezien ook.

[Reactie gewijzigd door Bor op 8 oktober 2024 12:13]

GertMenkel

Beveiliging en antivirus

@Bor • 8 oktober 2024 12:46

Een nadeel is dat je het zelf moet onderhouden, een voordeel is dat je het zelf kunt onderhouden. Veel routerfabrikanten, helemaal voor het consumentensegment, draaien vaak maanden tot jaren achterlopende software met alle risico's van dien.

Ik vertrouw Debian en Canonical meer als het op snelle updates aankomt dan Draytek of Zyxel. Van partijen als D-Link verwacht ik geen enkele updates. Een wereld van verschil vergeleken met Debian en unattended-upgrades.

EdwinHamers @GertMenkel • 8 oktober 2024 13:32

Daarnaast is het ook zo, helaas, dat een fabrikant een product (te vroeg?) als EOL beschouwt en daarna weigert om patches uit te brengen. Koop maar een nieuwe dus. Ze zouden eigenlijk een verplichting moeten opleggen aan fabrikanten dat ze bij CVE's van 10 altijd een fix moeten uitbrengen. Maakt niet uit hoe oud het is...

syl765 @EdwinHamers • 8 oktober 2024 19:21

Dat is dus helaas niet altijd mogelijk . Denk aan een hele oude kernel die ook al niet meer supported is. Dan moet je als leverancier dus de kernel in duiken. En soms draait een nieuwere kernel niet meer op de dan toch al oudere hardware.

In de ideale wereld fijn. Maar in de huidige wereld waar alles steeds sneller gaat niet te doen.

EdwinHamers @syl765 • 9 oktober 2024 10:13

Nonsense in mijn optiek. De meeste fabrikanten maken zelf hun firmware voor hun eigen hardware. Bijvoorbeeld het nieuws laatst dat een camera merk, dat volop in gebruik is, gewoon geen patch wil uitbrengen omdat EOL. Een patch is een patch. Ik heb het niet over Kernels.

Dreamvoid @GertMenkel • 8 oktober 2024 16:09

Dit lek zit niet in het onderliggende OS, maar in de Web UI. Met een Linux router is het niet Canonical of Debian die dat patcht, maar de ontwikkelaar van de web UI (OpenWRT, etc).

GertMenkel

Beveiliging en antivirus

@Dreamvoid • 8 oktober 2024 20:46

Wellicht, maar Linux-computers draaien doorgaans sowieso andere software dan wat er op routers draait. In principe zijn het sets van open source software met wellicht een laagje voor de GUI, maar beide hebben kwetsbaarheden in zo'n beetje elk deel van het systeem of in de onderliggende configuratie die op een gegeven moment gepatcht gaan worden.

Dreamvoid @GertMenkel • 11 oktober 2024 11:05

Idd, maar als je naar de geschiedenis van router exploits kijkt, is het meerendeel web UI-gerelateerd.

watabstract @GertMenkel • 8 oktober 2024 13:22

Ja ik vond de reactie van @Bor ook meer iets in de trant van "Linux distro's zijn ook niks." Dat slaat natuurlijk als een tang op een varken. Mijn Pi met Pi Hole kan ik ook zo vaak updaten als ik wil. Die gebruik ik alleen voor DNS en niet als router maar dat zou in beginsel veiliger zijn dan m'n duur betaalde Asus mesh router.

SunnieNL

@watabstract • 8 oktober 2024 13:37

Probleem is voornamelijk dat als er patches zijn 90% van de consumenten deze niet gaan installeren.
Of ze weten niet dat er patches zijn, hebben geen idee hoe ze het moeten installeren of hebben er totaal geen interesse in.

Als er iemand specifiek kiest om zelf een router op linux te bouwen, dan vertrouw ik wel dat ze zelf updaten. Al denk ik dat zelfs daar mensen zijn die iets hebben van 'het werkt, dus niet meer aankomen' en na verloop van tijd vergeten om minimaal 1x in de maand alle updates te installeren (om maar te zwijgen dat je eigenlijk zelf moet bijhouden of er niet een critical kwetsbaarheid is in één van de libraries en je direct zou moeten updaten).

Het feit dat je al zegt dat je Pi Hole veiliger is omdat je hem alleen gebruikt voor DNS en niet als Router geeft mij al kriebels. Uni Maastricht is ook plat gegaan omdat er maar 2 servers met mindere taken een oude niet meer onderhouden versie van Windows draaiden.

watabstract @SunnieNL • 8 oktober 2024 19:10

Ik ben geen 90% van de consumenten. Ik heb ook nooit beweerd dat de gemiddelde consument dit zou moeten doen. Dat neemt allemaal niet weg dat een router obv een Linux distro in beginsel veiliger is mits je dus de packages up to date houdt. Het ging er mij vooral om dat deze nuance in de eerdere berichten ontbrak.

En de reden dat je een Pi niet gebruikt als router is een hele praktische: veel te weinig bandbreedte. Daar is de hardware simpelweg niet voor geschikt. Dus die kriebels zijn niet nodig.

[Reactie gewijzigd door watabstract op 8 oktober 2024 19:11]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@watabstract • 8 oktober 2024 19:20

Dat neemt allemaal niet weg dat een router obv een Linux distro in beginsel veiliger is mits je dus de packages up to date houdt

Waarom zou het in beginsel veiliger zijn? Die vlieger gaat zonder meer informatie en onderbouwing niet zo maar op. War is er bv geïnstalleerd, wat is extern (van buiten het device) bereikbaar etc.

watabstract @Bor • 8 oktober 2024 19:57

"In beginsel" betekent zonder al die extra voorwaarden die jij stelt.

Overigens zijn er distro's speciaal voor router gebruik dus kun je die als uitgangspunt nemen. Richt het correct in voor je eigen situatie, update alles met regelmaat en je zit op rozen. Maar wederom: dat is dus niet voor de gemiddelde consument.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@watabstract • 8 oktober 2024 20:15

Echter die punten die je noemt maken het systeem niet "in beginsel" veiliger dan een dedicated OSje speciaal voor commerciele routers. Je stelt iets als feit wat niet meer dan een mening of aanname is. Zoals aangegeven; beide oplossingen hebben eigen voor- en nadelen. Die distro's speciaal voor router gebruik kennen ook eigen kwetsbaarheden, zijn vaak veel uitgebreider dan een consumenten router waardoor er mogelijk een groter aanvals oppervlak ontstaat.

Anoniem: 718943 @watabstract • 8 oktober 2024 15:25

Probleem met pihole wat ik vaak zie is dat het in docker gedraaid wordt en dat je op een gegeven moment een container hebt draaien met een image van 7 maanden oud.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@watabstract • 8 oktober 2024 15:47

Ja ik vond de reactie van @Bor ook meer iets in de trant van "Linux distro's zijn ook niks." Dat slaat natuurlijk als een tang op een varken.

Dat is dan ook helemaal niet wat ik zeg. Aan beide opties kleven voor- en nadelen. Een eigenbouw router gebaseerd op Linxu kent deze net zo goed als een prebuild en kant en klaar product. Niet alleen wat betreft onderhoud maar ook wat betreft beheer. Eigenbouw is flexibel en krachtig maar vereist kennis, supported software, discpline (updaten zal waarschijnlijk vaker moeten) maar kent ook het voordeel dat er waarschijnlijk langer updates beschikbaar zijn. Ieder kan zijn eigen afweging maken toch?

Dat jouw Pihole in beginsel veiliger is dan een duur betaalde Asus mesh router is te kort door de bocht. Ook Pihole (wat eigenlijk helemaal geen router is) kent security kwetsbaarheden.

watabstract @Bor • 8 oktober 2024 19:07

Helemaal mee eens maar die nuance miste ik in je eerdere bericht.

The Zep Man

Beveiliging en antivirus
Beveiliging

@Bor • 8 oktober 2024 12:18

Nadeel is dat je afhankelijk bent van een leverancier voor updates maar dat ben je met een eigen bouw op basis van Linux eigenlijk (indirect) praktisch gezien ook.

Over het algemeen is de ondersteuning voor opensource PC router-besturingssystemen beter dan van menig routerverkoper, o.a. door de frequentie en snelheid van updates. Een bonus is dat de hardware niet is afgeschreven zodra het gebruikte OS ermee stopt. Je kan gewoon overstappen op een ander. Dus tegen e-waste: reduce, reuse, recycle, dus de beste manier om tegen e-waste op te treden. Bij routerfabrikanten betreft het enkel recycle, dus de slechte manier om tegen e-waste op te treden.

Het voordeel aan een pre build router is dat het OS vaak specifiek hiervoor samengesteld is en niet meer draait dan nodig wat veiliger kan zijn.

Het nadeel is dat routers vaak verouderde interne software gebruiken. Dit zag je in het verleden vaak terugkomen in oude OpenSSL-versies en kwetsbaarheden in de kernel, voor o.a. routers en NAS-systemen.

In een bronartikel wordt genoemd dat de kwetsbaarheid aanwezig is in een aantal oudere Draytek routerseries die "end of life" zijn. Een willekeurig model dat ik zo even kies is net vijf jaar geleden uitgekomen. In dit geval is het fijn dat Draytek nog een update uitbrengt specifiek voor deze kwetsbaarheid, maar dat doen zij niet meer voor mindere kwetsbaarheden of voor andere zaken die achter beginnen te lopen.

Distributies zoals OPNsense en OpenWRT draaien prima op hardware die ouder is dan vijf jaar, zonder "end of life" oormerk. Routers met oudere hardware krijgen gewoon alle updates.

@Dekar
Ik zou niet per se alleen kijken naar Linux voor een zelf gebouwde router. Je kan bijvoorbeeld ook kijken naar OPNsense. gebaseerd op FreeBSD. Stabiel, regelmatige updates, uitbreidbaar met software waarvan het logisch is dat het op een router draait, werkt met nieuwe en (zeer) oude hardware.

[Reactie gewijzigd door The Zep Man op 8 oktober 2024 13:33]

dasiro @The Zep Man • 8 oktober 2024 12:54

software kan tegenwoordig eigenlijk niet meer zonder maintenance-subscription. Allemaal heel leuk dat er mensen zijn die dit gratis voor open-source willen doen, maar alleen de zon gaat voor niets op. Je kan niet verwachten dat bedrijven tot hun toestellen tot het einde der tijden blijven werken en onderhouden blijven.

latka @dasiro • 8 oktober 2024 13:24

Maar 15 jaar moet toch wel kunnen? Lukt autofabrikanten ook. Laatst het thermo element vervangen in mijn douche. Was ook 15+ jaar oud. Electronica wordt tegenwoordig na 2 of 3 jaar al niet meer gesupport terwijl TCP/IP niet wezelijk veranderd is de afgelopen 20 jaar.

bzzzt @latka • 8 oktober 2024 13:47

Electronica wordt tegenwoordig na 2 of 3 jaar al niet meer gesupport terwijl TCP/IP niet wezelijk veranderd is de afgelopen 20 jaar.

Misschien is de kern wel hetzelfde, maar je verwacht wel dat een nieuwe router IPv6 support, er met veilige protocollen wordt gepraat en ook veel meer performance omdat je thuis ook een gigabit aansluiting kan krijgen.

latka @bzzzt • 8 oktober 2024 14:36

Ja. Maar gigabit doen ook al 20 jaar oid en performance? Tsja, mijn PC uit 2005 kan windows 10 draaien en mijn PC uit 2024 ook en een PC en Windows zijn een stuk complexer dan een router. IPv6 is ook al even uit ;-) Punt blijft: support tijden op hardware zijn dermate laag dat wat mij betreft op EU niveau geëist wordt dat alle apparatuur minimaal 10 jaar support krijgt op security zaken. Dat dat zogenaamd innovatie zou remmen neem ik dan wel voor lief.

bzzzt @latka • 8 oktober 2024 14:46

Feitelijk betekent dat gewoon dat apparatuur een stukje duurder wordt.

Daarnaast mag je afvragen wat handhaven van dergelijke regels kost: wie is aansprakelijk voor het verkopen van spullen die niet meer geupdate worden? Wordt het illegaal om hardware te gebruiken als de fabrikant failliet is? Of moeten fabrikanten vooraf een zak geld in een 'support trust fund' gooien?

In de praktijk denk ik dat veel apparatuur die 10 jaar al benadert, in ieder geval die van fabrikanten die het goed doen en verantwoordelijkheid nemen voor een grote installed base van producten.

latka @bzzzt • 8 oktober 2024 15:33

Correct en wellicht gaan we dan ook wat zuiniger om met spullen en stoppen fabrikanten met iedere jaar 2 producten releasen die nauwelijks voor elkaar onderdoen. E-waste is echt zonde.

bzzzt @latka • 8 oktober 2024 15:48

Als consumenten nou gewoon eens stoppen met net doen of ze ieder jaar nieuwe hardware nodig hebben is dat ook een verbetering...

SG @bzzzt • 9 oktober 2024 07:19

De grootste ewaste is volk dat van vorige gens naar nextgen gaan voor kleine verbetering. Naast dat de economie daarop draait dat nextgen ook goed verkocht gaat worden. Als PC 10jaar moeten mee gaan loont het niet om heden hoge volume productie te hand haven. Naast dat 500 euro PC weg vallen en instap 2500 wordt en future proof en innovatie belemmerend. Dat ook de chip industrie met de huidige capaciteit dan gewoon te veel is en garantie termijn 5+ jaar . Producten worden dan veel duurder en nextgen cyclus worden aanzienlijk verlengt. Het zal dan ook veel langer duren eer next dieschrink zich terug betaald.

Als consumenten massaal ewast reducerend gaan gedragen dan krijg je recesie om dat dan chip en neven productie flink gedowned scaled moeten worden.

Ik zou nu ook liever netwerk hardware hebben die wat duurder is maar met modernere zuinigere chips op niet al te dated note. Omdat dit langdurige aankopen zijn die 24/7 energie slurpen. Hardware van 10 jaar oud is ook minder krachtig en ook energie vretend als specifiek performance punt wilt behalen.
Liever oud hardware ga ik voor specifiek hardware. Ipv oude 400wat pc build misbruiken als server bouw ik dedicated zuinige moderne build die 10jaar doet.

dasiro @latka • 8 oktober 2024 17:08

Hoe ga je dat doen? Wie weet kan je binnen 5 jaar gewoon QAAS (Quantum As A Service) afnemen waarbij huidige security-protocollen op een paar minuten gepasseerd zijn. Nu al technologie future-proof maken is quasi onmogelijk en hoogstwaarschijnlijk ook niet concurrentieel met de markt, dus ga je veel investeringen doen op een gok.

De huidige AI-evolutie is een heel goed voorbeeld van hoe ingrijpend een bepaalde nieuwe technologie kan zijn terwijl je daar 5 (laat staan 15) jaar geleden alleen nog maar van kon dromen.

latka @dasiro • 8 oktober 2024 17:19

Router zijn ook maar computers en het lukt aardig om op een 20 jaar oude CPU moderne software te draaien. Niet zo snel, dat is correct, maar het kan wel. AI ook zo iets: kan ook gewoon op een (oude) CPU. Duurt wat langer. Er is technisch geen reden om het niet te doen, behalve performance. Businesswise is er alles aan gelegen je iets nieuws aan te smeren, maar dat is een andere discussie.

dasiro @latka • 8 oktober 2024 17:37

als je ziet dat er tegenwoordig amper huis/tuin/keuken-routers zijn die 2.5Gbit ondersteunen en op volledige snelheid DPI aankunnen, dan weet je dat dit op het 20 jaar oude equivalent al helemaal géén realistische optie is, alleen nog maar door het ontbreken van de benodigde instructies in de CPU.

The Zep Man

Beveiliging en antivirus
Beveiliging

@dasiro • 8 oktober 2024 13:25

Je kan niet verwachten dat bedrijven tot hun toestellen tot het einde der tijden blijven werken en onderhouden blijven.

Andersom is vijf jaar te weinig en neigt het naar geplande veroudering.

bzzzt @The Zep Man • 8 oktober 2024 14:30

Sinds 2022 is het in de EU verplicht om voor een 'redelijke tijd' updates te bieden. Denk dat je met 5 jaar niet meer wegkomt als fabrikant al zullen er nog best wat zijn die het proberen.

Je ziet dat apparatuur van aanbieders die support wel serieus nemen doorgaans een stukje duurder is. Iemand zal toch uren moeten maken om die updates te bouwen en soms is het niet triviaal, zeker niet met oude hardware.

The Zep Man

Beveiliging en antivirus
Beveiliging

@bzzzt • 8 oktober 2024 15:06

Dat updates niet triviaal zijn voor oudere hardware komt door de keuze van hardware. Waarom werken updates (door derde partijen!) van software voor PC-hardware van meer dan 15 jaar oud zonder problemen?

bzzzt @The Zep Man • 8 oktober 2024 15:44

Een compleet OS met hardware ondersteuning ingebouwd kan je moeilijk vergelijken met een Windows applicatie die veel complexiteit op het OS af kan schuiven. De laatste Windows release draait zeker niet zonder problemen op hardware van 15+ jaar oud.

Als de hardware zelf lek is zoals bij spectre/meltdown/rowhammer aanvallen kan je software patchen wat je wil maar het blijft lek. Zeker op low-end hardware als routers kan het zijn dat de prestaties niet gehandhaafd kunnen worden als je 20%+ aan overhead incasseert vanwege workarounds.
Wat verwacht je in zo'n geval? Er bestaat niet iets als gratis hardware en bij een grootschalig probleem is het niet te voorzien wat de kosten zijn en gaan fabrikanten mogelijk failliet voordat alle hardware vervangen is.

The Zep Man

Beveiliging en antivirus
Beveiliging

@bzzzt • 8 oktober 2024 16:22

Een compleet OS met hardware ondersteuning ingebouwd kan je moeilijk vergelijken met een Windows applicatie die veel complexiteit op het OS af kan schuiven. De laatste Windows release draait zeker niet zonder problemen op hardware van 15+ jaar oud.

Ik snap niet waarom je specifiek over Windows begint alsof ik het daar specifiek over heb. Ik noem dat nergens in mijn reactie.

[Reactie gewijzigd door The Zep Man op 8 oktober 2024 16:22]

bzzzt @The Zep Man • 9 oktober 2024 08:12

Ook voor andere OSen is er geen enkele aanbieder te vinden die harde garanties geeft over functioneren op hardware van 15 jaar oud.

jctjepkema @The Zep Man • 8 oktober 2024 12:59

Vergeet niet dat OPNSense op dit moment officieel alleen nog op x86/x64 hardware draait. OpenWRT draait daarintegen wel op ARM wat een stuk zuiniger is en in veel gevallen qua hardware ruim voldoende. Ik draai zelf ook OPNSense, maar ik heb ook een serverkast gevuld met hardware er aan hangen. Dat is bij de gemiddelde tweaker al niet het geval en dan is een OpenWRT variant natuurlijk ruim voldoende.

The Zep Man

Beveiliging en antivirus
Beveiliging

@jctjepkema • 8 oktober 2024 13:27

Vergeet niet dat OPNSense op dit moment officieel alleen nog op x86/x64 hardware draait. OpenWRT draait daarintegen wel op ARM wat een stuk zuiniger is en in veel gevallen qua hardware ruim voldoende.

Er zijn nieuwere generaties x86 CPU's en netwerkchips die gecombineerd minder dan 10 watt nodig hebben. "ARM is zuiniger" is niet meer zo'n sterk argument als dat het ooit was.

jctjepkema @The Zep Man • 8 oktober 2024 13:59

Heb je gelijk in, ARM heeft tegenwoordig ook zwaardere CPU's beschikbaar en ook x64 is stukken zuiniger geworden.

Maar als je kijkt naar de gemiddelde OpenWRT router draait daar geen snapdragon, Apple M1 of andere vergelijkbare spec soc in. Dan draait daar een simpele quad core met 512mb RAM of zelfs een dualcore met 256mb RAM. Er zijn helaas niet veel recente x64 socs in die klasse.

Dan kunnen we hoog of laag springen, maar is een simpele processor in die reeks gewoon zuiniger/efficienter dan een van de lichtste x64 socs.

Een soc voor dit gebruik moet natuurlijk wel de mogelijkheid hebben om twee ethernet interfaces aan te sluiten. Dus of 2x RGMII, 2x PCIe, of een combinatie van die twee.

The Zep Man

Beveiliging en antivirus
Beveiliging

@jctjepkema • 8 oktober 2024 14:43

Dan kunnen we hoog of laag springen, maar is een simpele processor in die reeks gewoon zuiniger/efficienter dan een van de lichtste x64 socs.

Er is een kantelpunt waarbij het verschil in verbruik niet significant genoeg is om de beperkingen van ARM of MIPS voor lief te nemen.

[Reactie gewijzigd door The Zep Man op 8 oktober 2024 15:10]

Aaargh! @Bor • 8 oktober 2024 13:20

En dat zal een Linux eigen gebouwde router ook op een gegeven moment hebben

Sure, maar de attack-surface bij een eigen gebouwde router kan je vele malen kleiner houden. Je ziet toch vaak dat het de admin interface is die problemen geeft. De mijne luistert b.v. alleen naar SSH op het interne netwerk, en laat geen password login toe.
Als ik het nog veiliger wil dan kan ik zelfs dat uitzetten en alleen toegang via de console toestaan. Deze kan ik benaderen via IPMI maar ik heb alle IPMI interfaces op een apart management VLAN draaien waar ik mezelf niet eens toegang toe geef bij default.

Als je helemaal paranoïde wilt zijn kan je zelfs je router in halted state draaien. Je kan Linux zo instellen dat ie bij een een shutdown niet de stroom uitschakelt. De netwerk stack blijft dan draaien, inc. alle routing, maar het kernel is in een halted state waardoor er geen nieuwe processen gestart kunnen worden, je disk unmounted is en er verder niets aan software draait.

[Reactie gewijzigd door Aaargh! op 8 oktober 2024 13:23]

latka @Bor • 8 oktober 2024 13:22

Tegenwoordig met cloud-enabled routers (aka. abonnement op je router) vraag ik me af wat het nut is van zo'n doos als beveiliging. Ik denk dat iemand met een beetje kennis iets neer kan zetten dat veiliger is qua opzet en minder services draait.

DigitalExorcist @Dekar • 8 oktober 2024 12:47

Linux heeft er ook genoeg. Kwetsbaarheden bedoel ik.

"Linux" is geen router. Je gebruikt tooling om netwerkverkeer te routeren. Die tooling kan lekken bevatten. Net zoals op elk ander OS.

[Reactie gewijzigd door DigitalExorcist op 8 oktober 2024 12:48]

RobertMe

Netwerkapparatuur

@DigitalExorcist • 8 oktober 2024 13:28

Je gebruikt geen tooling om netwerkverkeer te routeren. Laat dat nu juist iets zijn dat letterlijk in de Linux kernel zit

De enige "tooling" die hierbij komt kijken is de [mono]ip[/] CLI tool met het [mono]route[/] subcommand ([mono]ip route ...[/]) dus. Maar dat is puur een management tool en die doet niks nadat het geconfigureerd is. En als je deze tool niet vertrouwd kun je vast zelf iets schrijven dat de juiste syscalls doet om de kernel te configureren.

Ik heb momenteel ~1,5 jaar een volledige zelfbouw router draaien met vrij letterlijk Debian en verder niks. Ik gebruik systemd-networkd (onderdeel van systemd, die er "toch al op staat" omdat het het init systeem is) om het netwerk gebeuren te "managen" v.w.b. VLANs, DHCP, IPv6 incl prefix delegation vanaf Ziggo, custom routes aan te maken (dus ook buiten [mono]ip route[/] om zeg maar), wireguard server & client te "beheren", etc. En daarnaast gebruik ik nft / nftables voor de firewall. Dat zit ingebakken in de kernel, en heb je alleen de [mono]nft[/] tool voor nodig die de plain text file parsed en "doorzet" naar de kernel API.
De mogelijke attack vectors zijn daarbij dus ook minimaal. Omdat het (relatief) standaard tools gebruikt (nft is de opvolger van iptables en dus zeer breed gebruikt en de manier om de nftables in de kernel te beheren, systemd wordt waarschijnlijk door meer dan 75% van de Linux distro's gebruilt (bekendste die het niet gebruikt zal Alpine wel zijn)). En ik heb dus ook geen management interface (UI) of wat dan ook die op zichzelf weer kwetsbaarheden kan bevatten. Enige voor management is dat SSH er op draait (uiteraard root login disabled, en login alleen mogelijk met een public key, en staat uiteraard niet open vanaf het internet).

Marctraider 8 oktober 2024 13:01

De komende 10 jaar houdt ik nog ff mn linksys met Openwrt. Zou nooit meer terug willen naar gelimiteerde vendor locked trash.

WoBBeL

8 oktober 2024 13:14

Deze CVE's zijn al sinds juni bekend, er zijn voor de meeste producten al meerdere firmwares uitgekomen sindsdien. Een andere manier om te mitigeren is SSL VPN uitzetten en ACL toepassen op de webinterface. Zie ook https://www.draytek.com/a...execution-vulnerabilities

Jermak 8 oktober 2024 14:10

Service van Draytek is Top,
Als je hebt aangemeld bij MyVigor : https://myvigor.draytek.com/register
Krijg weekelijks of 2 weekelijks een E-mail met overzicht van nieuwe Firmware,
Je hoeft geen achterstand te hebben, in ieder geval beter dan Cisco.

Vorige week mijn 2927 vervangen voor een 3910. ben weer klaar voor de komende 5 jaar

Drardollan @Jermak • 8 oktober 2024 14:16

De 3910 is recent vervangen door de 3912, beetje jammer dat je nu al een product hebt wat EOL is (maar niet End of Support!).

Jermak @Drardollan • 8 oktober 2024 15:45

Fout gelezen (of aanname) 3910 is niet EoL. https://www.draytek.com/support/product-lifecycle/
3912 heeft wat meer capaciteit, maar 3910 voldoet voldoende in mijn netwerk.
3912 is 2 jaar jonger dan mijn 3910.
mijn 3910 koste 20% van een nieuwere 3912.
kan altijd nog switchen naar 3912

Drardollan @Jermak • 8 oktober 2024 15:54

Let op dit product is End of Life; het vervangende model is de Vigor 3912

https://www.draytek.nl/producten/vigor-3910/?tab=overzicht

Zoals ik al aangaf, EOL maar niet EOS. Updates zullen er de komende jaren gewoon komen.

De 3912 is niet 2 jaar jonger, hij is nog niet eens een jaar op de markt in Nederland volgens Tweakers

Verkrijgbaar sinds: 26 januari 202

uitvoering: DrayTek Vigor 3912

En geen idee waar je hem gekocht hebt, maar de 3912 is nieuw (serieus) goedkoper dan een 3910. 3912 is € 837 inclusief BTW en de 3910 € 986. Bron: https://tweakers.net/pricewatch/compare/2036454;1549438/

Dus tenzij als je een tweedehands hebt gehaald voor een gunstige prijs en tevreden bent dan is het prima. Maar nieuw kan je veel beter de 3912 kopen en dat zou ik persoonlijk altijd doen. Langere software ondersteuning, garantie en meest toekomstbestendige keuze.

Jermak @Drardollan • 8 oktober 2024 19:18

Wat is er mis met 2e hands? Als er een 3912 langs komt. Dan sla ik wel weer toe

Maar waarom zou ik , de 3910 houdt het net zo lang vol als de 3912.

[Reactie gewijzigd door Jermak op 8 oktober 2024 19:20]

Op dit item kan niet meer gereageerd worden.

Kritieke kwetsbaarheden ontdekt in DrayTek Vigor-routers

Lees meer

Reacties (93)

Sorteer op:

Weergave: