ASUS: verwijderen van recente botnetmalware vereist fabrieksreset

Een bug in ASUS-routers waarmee een hardnekkig botnet wordt geïnstalleerd, kan worden gerepareerd met een firmware-update, zegt ASUS. Voor al geïnfecteerde routers is het wel nodig om een reset naar de fabrieksinstellingen door te voeren, schrijft het bedrijf in een verklaring.

ASUS reageert onder andere tegenover Tweakers op recent nieuws over een kwetsbaarheid in een aantal routers dat vorige maand naar buiten kwam. Dat is CVE-2023-39780, een kwetsbaarheid uit 2023 die een achterdeur installeert op routers waarmee het mogelijk is commando's uit te voeren op een systeem. Die bug is al een tijd geleden gerepareerd, maar aanvallers hebben onlangs in groten getale routers geïnfecteerd met die bug.

ASUS reageert nu op die situatie. Het bedrijf zegt dat het botnet te verwijderen is met de firmware-update, maar dat het installeren daarvan in sommige gevallen niet genoeg is. Voor apparaten die (mogelijk) geïnfecteerd zijn, is het nodig de firmware bij te werken naar de recentste versie, maar daarna is het nodig het apparaat terug te zetten naar de fabrieksinstellingen.

Een herstart is volgens het bedrijf niet genoeg. De malware die nu wordt verspreid, kan een herstart namelijk overleven, zegt ASUS. Voor apparaten die de end-of-lifestatus hebben bereikt, is dat overigens niet nodig. Daarvoor volstaat het om de laatste firmwareversie voor het apparaat te installeren, maar ASUS raadt daarnaast wel aan om toegang op afstand via bijvoorbeeld SSH of DDNS uit te schakelen.

Reacties (76)

Dhr. Satoshi 4 juni 2025 10:52

Tsja, dit verbaast me natuurlijk helemaal niks. Ik zei het vorig jaar al toen CVE-2023-39780 opdook: 'Deze vuln gaat eskaleren als ASUS niks doet met hun fireware.' En kijk nu... botnets all over the place. Het is echt basic security 101: als je root access hebt op een router, dan kunnen hackers letterlijk je hele IP-adres overnemen.

En dan een fabrieksreset? Serieus? Alsof dat de kernels van de malware wist. Wat ASUS had moeten doen is gewoon een rollback implementeren via BIOS-level encryptie. Maar nee, iedereen is te druk met RGB verlichting op hun routers.

Ik heb persoonlijk m’n DNS gepatched via command prompt zodat SSH traffic wordt omgeleid naar een honeypot op m’n NAS. Maar goed, niet iedereen weet hoe reverse proxies werken hé...

Lizard

@Dhr. Satoshi • 4 juni 2025 11:23

Als je het vorige artikel had gelezen, daarin staat dat de backdoor in nvram wordt opgeslagen.
En die wordt gewoon gewist tijdens een factory reset.

Verder strooi je met een aantal fancy zinnetjes. "Rollback via bios-level encryptie"?

En je patched je DNS niet voor een omleiding naar een honeypot. Ik denk dat je een port-forward bedoelt.

En dat heeft weer niets met reverse proxies te maken.

Backspin @Dhr. Satoshi • 4 juni 2025 12:31

"deeper-level firmware-allocatie", "pre-auth vectoring"? Is it you, Rian van Rijbroek? Of (erger nog) werk je in sales?

bluebit @Dhr. Satoshi • 4 juni 2025 12:03

haal je dit soort kennis uit een tv script waar ze doodshoofden op het scherm laten zien terwijl de hoofdpersoon zit te hacken door "dir" te typen in een dos box?

jozuf @Dhr. Satoshi • 4 juni 2025 12:50

Ik ben wel nieuwsgierig wat "rollback via BIOS-level encryptie" inhoud. Een rollback van de bios encryptie kan (alhoewel ook dat een twijfelachtige manier van beschrijven is, het is dan meer uitschakelen van encryptie features in het bios) , maar een rollback via encryptie slaat kant noch wal in elk opzicht.
Ik ben toch wel redelijk op de hoogte van netwerkbeheer (met o.a. een eigen OPNSense router hier), en hier heb ik nog nooit van gehoord.
Een goede bron zou helpen, anders neig ik ernaar zoals de andere dat je wild met termen zit te gooien.

[Reactie gewijzigd door jozuf op 4 juni 2025 12:53]

Groningerkoek @Dhr. Satoshi • 4 juni 2025 13:37

Zelfs ChatGPT zou dit beter kunnen schrijven.

Vinez Initez @Groningerkoek • 4 juni 2025 14:03

Man, dit is echt hilarisch. “Ieder z’n expertise” ja, alleen zit die van jou duidelijk niet in de IT óf in de Nederlandse taalkunde.

Ten eerste: OPNSense is juist een van de meest plug-and-play oplossingen binnen het firewallsegment. Webinterface, automatische updates, standaard rulesets, alles out-of-the-box beschikbaar. Dat jij het als “niet plug-and-play” ziet, zegt meer over jouw ervaring dan over het product.

Dan je stukje over “BIOS-level encryptie” en “post-init rollback protection met versleutelde firmware images”… Kijk, dat klinkt allemaal heel indrukwekkend, maar je smijt hier termen op een hoop alsof je een embedded whitepaper probeert na te bootsen zonder de context te snappen. TCG, SoC’s, bootchain integrity, leuk hoor, maar totaal niet relevant voor het punt waar het gesprek over ging: consumentenetwerkapparatuur met een bekende CVE.

Maar goed, thanks voor de masterclass buzzword bingo.

smiba @Dhr. Satoshi • 4 juni 2025 13:42

Beetje buzzwords, maar aan een kant heb je ergens wel gewoon gelijk.

Het is dat deze exploit niets mega persistent heeft gemaakt (zover bekend), maar niets weerhoud de aanvallers natuurlijk gewoon de kernel binary te vervangen om zo persistence te behouden ook na een reset. Bij een fabrieksreset word niet je complete firmware opnieuw gedownload en geschreven, enkel de configuratie gereset.

Wat je met BIOS-level encryptie bedoelt weet ik niet helemaal, maar ik denk dat je gewoon bootloader en kernel signing bedoelt.

Vinez Initez @Dhr. Satoshi • 4 juni 2025 13:57

Gast, je haalt een paar dingen compleet door elkaar.

Die CVE was inderdaad serieus, maar je doet nu alsof je vorig jaar al een soort cyber-Nostradamus was. Root access op een router is natuurlijk kwalijk, maar “je hele IP-adres overnemen” slaat nergens op. Een IP-adres is gewoon een toewijzing van je internetprovider — dat kunnen aanvallers niet "overnemen" alsof het een wachtwoord is. Wat ze wél kunnen doen, is je netwerkverkeer onderscheppen of misbruiken, en dat is erg genoeg.

Dan die fabrieksreset: ja, dat is vaak wél effectief, tenzij de malware firmware-persistent is — wat zeldzaam is op consumentenspul. Je doet alsof er standaard geavanceerde kernel rootkits op elke router draaien. Meestal gaat het om iets simpels dat je met een reset inderdaad onschadelijk maakt.

En dat “BIOS-level encryptie” verhaal… routers hebben helemaal geen BIOS zoals een PC. Je gooit hier buzzwords op een hoop zonder te kijken wat technisch realistisch is voor een €100-router. Encryptie op bootloader-niveau is iets voor enterprise gear, niet voor consumentenmodellen met RGB.

Tot slot: DNS patchen via command prompt om SSH naar een honeypot te sturen? Dat klinkt leuk, maar zo werkt het niet. DNS bepaalt naamresolutie, niet netwerkstromen. Als je echt SSH omleidt, dan doe je dat via port forwarding, NAT of een reverse proxy — maar dat zeg je dan niet via "command prompt DNS patchen".

Kortom: ik snap je frustratie, maar je verhaal is een mix van halve waarheden, tech-jargon en stoere praat. Dat helpt niemand. Beter je feiten checken voordat je zo hard van stapel loopt.

Annihlator @Dhr. Satoshi • 4 juni 2025 17:59

Even wat rechtzetten:

- Dat IP-verkeer wordt door de ISP's gefiltert, dus nee je kan niet met je ziggo-modem in nl zomaar pakketten sturen alsof ze vanaf de USA komen; dat zou de routing tegenhouden. sterker nog; dat zijn de ISP's *verplicht*, dat ze outbound filteren...

- Alles valt onder NAT-koepel hier, zowel port-forwarding als reverse proxies zijn onderdeel van de nat en zonder port-forwards (of andere rules) doet de reverse-proxy ook niet veel (want zonder de juiste NAT-rules komt het niet aan op je proxyserver) ik zie niet zinnigs in pogen een semantische discussie op te werpen op moedwillige misinterpretaties van wat geschreven werd.

Ik zal het volgende maar zo eerlijk mogelijk zeggen: Jargon is niet-subjectief; het ontstaat vanuit het feit dat meerdere mensen een onderling overeenkomend niveau van begrip over het onderwerp hebben. Voor buitenstaanders is het misschien verwarrend, maar daarbuiten *absoluut niet*.

Dit kan ik het makkelijkst aantonen door in te zoomen op het stuk waar je bios-level encryptie noemt; encryptie of-niet maakt geen zier meer uit op het moment dat het (zoals bij deze CVE) een vulnerability betreft die vanuit OS-niveau draait; die sleutel is daar al actief. Zo'n maatregel kan enkel voorkomen dat iemand met fysieke toegang direct de gegevens kan lezen of vervangen in/bij een geheugenchip... het OS hééft al toegang tot die chips.

Hetzelfde bij "BIOS-level encryptie" als term, bedoel je dan niet eigenlijk hardware-level/TPM encryptie? want niemand zou de geheugenruimte moeten willen spenderen aan wat anders dan de bootloader zelf bij een bootloader; dat zou eerder bij een second-stage loader gebeuren normaliter, of hardwarematig; dan ben je de BIOS al voorbij. Dus wat is eigenlijk dan dat "Bios-level" van "Bios-level-encryptie"?

Als je jargon gebruikt, kan het maar beter daadwerkelijke inhoud toevoegen want anders is het gewoon niks-anders dan een poging tot interessantdoenerij en gebakken lucht. Dat kan je op de televaag prima doen, maar hier zullen (blijkbaar verscheidene) mensen gewoon benoemen dat dat best wel opvalt...

mjz2cool @Annihlator • 5 juni 2025 21:38

Port forwarding en reverse proxy zijn toch wel hele verschillende begrippen en vallen zeker niet onder de "NAT-koepel". Bij een reverse proxy ben je al voorbij het NAT gedeelte, doormiddel van NAT regels (port forwarding). Een reverse proxy kan ook binnen een netwerk gebruikt worden, compleet onbereikbaar voor de buitwereld. Dan komt er helemaal geen NAT bij kijken.

Backspin @Dhr. Satoshi • 4 juni 2025 12:27

Als je goed gelezen hebt zie je dat er geen malware geïnstalleerd wordt. Dus ook geen custom kernels. Dus ja, het updaten van de firmware (als dat inhoudt dat er een compleet nieuwe firmware wordt geïnstalleerd, en niet alleen bepaalde files worden gepatched) en een fabrieksreset (waardoor NVRAM gewist wordt) zouden hier moeten volstaan.

Arvado @Dhr. Satoshi • 4 juni 2025 11:16

Ik heb persoonlijk m’n DNS gepatched via command prompt zodat SSH traffic wordt omgeleid naar een honeypot op m’n NAS. Maar goed, niet iedereen weet hoe reverse proxies werken hé...

Kun je iets meer uitleg hierover geven? Wat bedoel je met DNS gepatched?

noskill @Arvado • 4 juni 2025 11:45

Geen touw aan vast te knopen lol.

Backspin @Dhr. Satoshi • 4 juni 2025 17:21

Interessant. Heb je wel eens overwogen om dit te vervangen door een DD-WRT build met quadruple NAT? Dan kun je namelijk via BIOS-vectoring je poorten in layer 8 de-anonomizen. Dan ben je eigenlijk zo goed als failsafe beschermd tegen het soort pseudo-phalange attacks zoals die nu op Asus uitgevoerd worden.

Yannickto @Dhr. Satoshi • 7 juni 2025 16:16

Nee, maar wat je net redelijk in mensentaal aangeeft, hebben ze niet ingegrepen wanneer het moest. Ik was/ben zeer fan van Asus routers met merlin firmware waar ik me niet verder in verdiept heb... Door die backdoors heb ik zeer goedkoop een Acer Connect Vero W6m met wifi6e, kost rond de 250, als je de 5 weglaat, dat is de prijs die ik betaald heb 20 euro, maar saai, zo op 1-2-3 ingesteld en ook micro trend qua beveiliging...

sahinasappelsap 4 juni 2025 10:18

Ik zie in de CVE specifiek de RT-AX55 staan. Wat is nu het advies om te doen als je die router hebt? De routers die ik heb, hebben de meest recente firmware.

[Reactie gewijzigd door sahinasappelsap op 4 juni 2025 10:21]

FiberSam @sahinasappelsap • 4 juni 2025 10:27

Als je enigzins technisch onderlegd bent, kan je controleren of je geïnfecteerd bent. Zie ook https://www.greynoise.io/blog/stealthy-backdoor-campaign-affecting-asus-routers:

Check ASUS routers for SSH access on TCP/53282.
Review the authorized_keys file for unauthorized entries.
Block the four IPs listed above.

Als je geïnfecteerd bent, of als je dit niet weet maar het zekere voor het onzekere wilt nemen, de router resetten naar de firmware instellingen. Dan moet je dus daarna alle instellingen die je hebt gemaakt opnieuw doen.

[Reactie gewijzigd door FiberSam op 4 juni 2025 10:28]

turkeyhakan @FiberSam • 4 juni 2025 11:04

Zou je misschien iets meer toelichting kunnen geven? SSH access staat toch standaard uit (bij mij wel iig)? Waar kan ik the authorized_keys file vinden?

[Reactie gewijzigd door turkeyhakan op 4 juni 2025 11:12]

Xfade @turkeyhakan • 4 juni 2025 11:30

Het staat standaard uit maar de exploit zet hem aan.

/tmp/home/root/.ssh/authorized_keys
waar je vermoedelijk met Putty en met een lan poort open zelf naar moet ssh'en.
https://www.labs.greynoise.io/grimoire/2025-03-28-ayysshush/
Alleen bij dat modem specifiek tot dusver.

[Reactie gewijzigd door Xfade op 4 juni 2025 11:31]

DeMolT. @turkeyhakan • 4 juni 2025 11:31

Zoals ik het begrijp wordt de SSH enabled tijdens de hack, dus als die uit staat, zit je al redelijk safe.

turkeyhakan @DeMolT. • 4 juni 2025 11:33

Fijn, dank je wel!

OsOItalO @turkeyhakan • 4 juni 2025 14:55

In je gui lijkt SSH uit te staan. Maar wie zegt dat dat ook echt zo is? Virussen en malware proberen zichzelf meestal te verbergen.
Als het om SSH toegang van buiten gaat, en dat lijkt mij het issue, kan je wellicht een portscan laten doen vanaf een website.

sahinasappelsap @DeMolT. • 4 juni 2025 19:27

Ik heb telnet en ssh in de routers (RT-AX55 dus) uit staan. Ik kan in de system log in de ui ook nergens de genoemde poort of ip-adressen vinden. Geen idee of ik nog iets mis qua nazoeken in de logs. Wellicht is er gewoon niets aan de hand.

Yannickto @sahinasappelsap • 7 juni 2025 16:23

Ze spraken van 40.000 routers, wat in het algemeen gezien niet zoveel is, en pak dat de helft niet de moeite neemt om de standaard instellingen aan te passen en een deftig passwoord, want je zou versteld staan dat zo iets logisch hier in belgie men voor alles nog hetzelfde passwoord gebruikt, ik maakte mij daar meer dan 10 jaar ook schuldig aan, ik lijk te evolueren, belgie die nemen een stap en gaan er dan 2 achteruit.

batteries4ever @sahinasappelsap • 4 juni 2025 10:26

Als je automatische updates hebt aanstaan, was je dan ook gevoelig voor die aanval? In dat geval zou ik het versienummer controleren en op fora kijken of met ASUS contact opnemen.

Anders... firmware update en terugzetten naar de fabrieksinstellingen. Ja dat is een gekloot, maar zekerder. Ik geloof niet dat je kunt zien of je geïnfecteerd bent.

Pointfair 4 juni 2025 10:14

Ik heb zelf sinds kort ook een Asus router. Maar ben niet zo thuis in deze materie om te zien of deze ook daadwerkelijk geinfecteerd is. Hoe kun je dit zien? Ik heb geprobeerd het te vinden in de manual maar daar vind je zoiets natuurlijk niet terug. Mijn router is een Asus RT-BE88U. Werkt prima voor mij maar door dit nieuws werd ik wat nerveus.

Jaldea @Pointfair • 4 juni 2025 10:18

Je hoeft je geen zorgen te maken over dit issue, deze is alleen van toepassing op onderstaande product. met versie ID.
Vendor:
ASUS

Product:
RT-AX55

Version:
3.0.0.4.386.51598

Wouter_S @Jaldea • 4 juni 2025 10:48

Als het alleen dat model was, dan zouden ze toch niet zeggen 'Voor apparaten die de end-of-life-status hebben bereikt, is dat overigens niet nodig' ? Of ben ik gek? Ik zou graag willen weten voor welke modellen wat geldt, maar tast nog behoorlijk in het duister.

Xfade @Wouter_S • 4 juni 2025 11:16

Op een andere Engelse site doet de tekst meer denken aan een algemene tip for mensen welke hun routers geen firmware updates meer krijgen. Dus meer wat je moet doen om je EoL device veilig te houden. Betekent dus niet dat ze infected zijn. Zie Asus hun statement hier : https://www.ispreview.co....curity-vulnerability.html

[Reactie gewijzigd door Xfade op 4 juni 2025 11:22]

Yannickto @Pointfair • 7 juni 2025 16:30

Ooit toch al eens per ongeluk een virus of malware binnen gehaald toch? Ik wel, meer dan me lief is, ondanks alle voorzorgsmaatregelen, vanaf uw router zaken doet die niet normaal zijn, ga je bij agressieve exploits best razendsnel fabrieksinstellingen en alle kabels uit...

Je weet meestal direct wanneer je geinfecteerd bent, in mijn geval toch telkens geweest, daarvoor maak je backups enzo, zodat je alles kan resetten wanneer je snel moet ingrijpen

Pointfair @Yannickto • 8 juni 2025 16:44

Nee nog nooit een virus binnen gehad.

The Zep Man

Beveiliging en antivirus

4 juni 2025 10:01

ASUS reageert nu op die situatie. Het bedrijf zegt dat het botnet te verwijderen is met de firmware-update,

Gezien het apparaat al geïnfecteerd is: welke garantie geeft ASUS dat de malware verwijderd is na een firmware-update + factory reset?

Factory resets zijn ook softwarematig, vaak vanuit een (mogelijk gecompromiteerde) bootloader. Die apparaten zijn niet meer te vertrouwen tenzij je een low-level clean flash doet van het geheugen.

bzuidgeest @The Zep Man • 4 juni 2025 10:15

Net zo veel garantie als ze op de veiligheid gaven toen je hem kocht met bug die een botnet mogelijk maakte.

Je kan hopen dat asus nagedacht heeft over deze instructie.
Je installeert een nieuwe firmware die zal het flash overschrijven. Dan een factory reset om eventuele changes op te vangen. Waarschijnlijk weten ze al dat de malware niet in een bootloader zit. Ze hebben een fix dus moeten ze weten hoe het werkte.

Je kan overal wat achter zoeken. Maar ik denk dat wel updaten veiliger is dan niet updaten.

Als je elke router met een bug niet meer kan vertrouwen dan kunnen we het internet wel opdoeken. Zelfs de duurste switch/core router heeft wel eens iets.

[Reactie gewijzigd door bzuidgeest op 4 juni 2025 10:16]

sniek @The Zep Man • 4 juni 2025 10:43

De factory reset komt van een stukje read only mem,... Dus daarna zou hij schoon moeten zijn. Maar garantie tot aan de engineers van Asus dit dit hebben beoordeeld en deze instructie hebben geschreven.

The Zep Man

Beveiliging en antivirus

@sniek • 4 juni 2025 12:00

De factory reset komt van een stukje read only mem,...

Ik heb veel met dergelijke apparaten gewerkt. Dat "read-only memory" is gewoon een stukje flash dat zodanig geoormerkt is. Dat is een soort afspraak waar de kernel zich aan houdt. Een gecompromitteerde kernel kan dat gewoon negeren en alsnog direct daarnaar wegschrijven.

Het kan natuurlijk zijn dat code in ROM de factory reset forceert en het volledige flashgeheugen schoont (waarna je alsnog een nieuwe firmware moet installeren). Dat vereist echter extra hardware en daarmee kosten, en dit zie je nauwelijks.

sniek @The Zep Man • 4 juni 2025 12:36

Hier heb je zeker een punt. Maar er zijn er die echt een rom hebben

Of deze ASUS dat heeft valt idd te betwijfelen...

SunnieNL

@The Zep Man • 4 juni 2025 10:33

De vraag die je je moet stellen is waarom je als gebruiker die update nog niet had geinstalleerd na 2 jaar.

Asus zou eigenlijk 2 dingen moeten doen:

- aangeven dat je altijd een factory reset moet doen na de firmware upgrade (nu zweeft het er tussenin en laten ze het weer aan de gebruiker)

- zorgen dat automatisch update geintroduceerd wordt op de consumenten apparatuur zodat dit soort beveiligingsupdates zo snel mogelijk geinstalleerd worden op de apparatuur. Gebruikers vergeten dit namelijk en door de checkbox van auto-updates uit te schakelen leg je het gehele probleem wat nu bestaat in de toekomst bij de gebruiker die het bewust heeft uitgeschakeld. Daarnaast zou na uitschakelen dit continue in de interface moeten komen dat dit niet de aangeraade stand is.

Sandwalker

@SunnieNL • 4 juni 2025 11:31

Een fabrieksreset is irritant omdat je dan de configuratie opnieuw moet doen. Vaste ip-adressen en subnets vastleggen. Allemaal wel te doen maar ook dat nou standaard bij iedere update te doen, is toch weer een uurtje klooien wat ik liever anders besteed.

PaulHelper @Sandwalker • 4 juni 2025 12:33

Deels waar, maar ik weet niet wat voor router jij hebt maar normale routers hebben een backup en herstel tab. Als het goed is zou dat ongeveer 1 keer in de zoveel tijd of als het hetzelfde blijft 1 keer backuppen/exporten. Dan bij iets dat fout of dus fabrieksresr gaat herstellen.

SunnieNL

@Sandwalker • 4 juni 2025 17:11

Had je de update in 2023 geinstalleerd dan had je nu geen fabrieksreset hoeven doen. Dat hoeft normaal ook niet bij een standaard update, tenzij het gat al heel lang misbruikt was.

watercoolertje @SunnieNL • 4 juni 2025 10:36

- zorgen dat automatisch update geintroduceerd wordt op de consumenten apparatuur zodat dit soort beveiligingsupdates zo snel mogelijk geinstalleerd worden op de apparatuur.

Met een opt-out dan, wil uiteraard de laatste fixes maar je hoeft mijn router echt niet te flashen/herstarten als ik het netwerk op dat moment daadwerkelijke nodig heb.

SunnieNL

@watercoolertje • 4 juni 2025 11:00

Dat is wat er bij staat, want dan verplaats je verantwoordelijkheid weer naar de eindgebruiker.

Overigens kun je bij de meeste update functies gewoon instellen wanneer dit moet gebeuren. Midden in de nacht kun je meestal je internet wel een paar minuten missen tijdens de update en herstart.

watercoolertje @SunnieNL • 4 juni 2025 11:04

Ik draai dag en nacht een webserver (uptimechecker) en verschillende slimme apparaten die deels via internet werken en/of data via het internet bijhouden.

Dus nee dat moment wil ik echt helemaal zelf uitkiezen (ook niet standaard gepland, ik wil dat zelf inplannen), je argumenten veranderen echt niks aan mijn situatie die is zoals het is.

Dat is wat er bij staat, want dan verplaats je verantwoordelijkheid weer naar de eindgebruiker.

Ik zeg toch niet dat iedereen een opt-out moet doen, IK wil dat, de rest moet lekker doen wat de rest wil!

[Reactie gewijzigd door watercoolertje op 4 juni 2025 11:05]

PaulHelper @watercoolertje • 4 juni 2025 12:30

Dit klinkt alsof je setup eigenlijk net niet lekker is. Het lijkt alsof je 100% online wil zijn met 1 server. Als het echt zo belangrijk is waarom heb je dan niet of een kleine backup server die de kritieke services doordraait of in combinatie met router, ergens buiten jouw netwerk een 100% uptime of in ieder geval tijdelijke server die je in dat soort gevallen eraan kan hangen?

SunnieNL

@watercoolertje • 4 juni 2025 17:17

Jij behoort denk ik ook niet bij de standaard consumenten. En er is toch geen probleem, ik geef alleen aan dat dat vinkje normaal aan moet staan (secure by design) en als je dat als gebruiker uitzet, dat je dat dus bewust moet doen. Daarnaast zou een tijdslot kiezen voor auto-updates ook al veel mensen helpen, waarbij je nog ongeveer 1% van de consumenten overhoud waarbij dat niet kan, zoals bij jouw.

Ben wel benieuwed welke slimme apparaten jij hebt die op het moment dat het hele huis slaapt niet heel even 2 minuten zonder internet kunnen, want ik kan er niet zo snel wat bedenken. De meeste slimme apparaten die ik koop handelen ook alles lokaal af en hebben internet voornamelijk voor het handig. De werking daarvan is bij mij volledig onafhankelijk van het internet.

Een uptimechecker die eigenlijk niet zonder internet kan, zou sowieso een backup moeten hebben voor het geval je internet een keer uitvalt? Blijkbaar is die heel belangrijk voor je en een standaard consumenten provider heeft een hele lage SLA voor dit soort zaken.

Yannickto @SunnieNL • 7 juni 2025 16:37

Probleem dat ik voor heb bij firmware updates is dat het via de app altijd mislukt... Dus dan lijkt mij dat de automatische installer daar ook in zou kunnen falen, moet hem altijd manueel flashen.

wiseger @SunnieNL • 4 juni 2025 11:48

Je hebt ook risico's dat een automatische patch de boel stuk maakt. Heel veel gebruikers willen daarom geen automatische patching maar wachten liever even af of anderen problemen met een patch hebben.

SunnieNL

@wiseger • 4 juni 2025 17:10

Dat is prima, maar gaan dan niet zeuren dat als je de patch niet installeert dat je daarna in een botnet zit als die patch een beveiliginslek heeft dichtgezet.

En het "heel veel gebruikers" klopt ook vaak niet. 95% van de gebruikers kan het niets schelen en die kijken nergens naar om. Waarom zijn er anders nu nog zoveel Asus routers die een patch uit 2023 niet hebben geinstalleerd? Als heel veel gebruikers denken dat de boel stuk gaat, dan horen die zeker ook na te denken over security, dat nog veel meer stuk kan maken.

Waarom maken mensen zich hier op Tweakers zorgen?? Juist van de Tweakers hier verwacht ik beter. Als je die auto-updates uitzet en dit bewust doet, dan ben jij vanaf dat moment verantwoordelijk voor die updates. En Secure by Design (die dus aangeeft dat automatisch updates bij default aan hoort te staan) zegt dan eigenlijk ook, dat als je dat doet, dat die router dat in de GUI ook continue laat zien dat dat geen goed idee is.

wiseger @SunnieNL • 5 juni 2025 11:45

Security by design geeft ook aan dat je externe Internet toegang tot je router meteen bij installatie uit zet. Sterker nog, het hoort uit te staan by default.

SunnieNL

@wiseger • 5 juni 2025 16:53

Daarmee zorg je niet dat je geen last hebt van deze CVE.

Maak een website met een script dat heel snel alle interne ip-adressen af (routers zitten meestal op .1, dus dat gaat redelijk rap) en je zit er al snel op van buitenaf.

wiseger @SunnieNL • 5 juni 2025 17:10

Dat begrijp ik niet.

attackers can perform OS command injection via the /start_apply.htm qos_bw_rulelist parameter

Hoe kan een aanvaller een command injection doen als er geen externe web server actief is om te reageren op het verzoek?

Asus moet toch op haar router een web-service proces draaien die naar verzoeken van buitenaf luistert om /start_apply.htm uit te voeren?

Om een script van binnenuit uit te voeren, moet de gebruiker eerst naar een kwaadaardige website gaan, daarnaast moet hij ook vergaande script bevoegdheden open hebben staan in zijn browser.

[Reactie gewijzigd door wiseger op 5 juni 2025 17:13]

SunnieNL

@wiseger • 5 juni 2025 17:13

Stel ik stuur jouw een email met een link..

jij klikt op de link en komt op een pagina via jouw laptop aan de binnenkant van het netwerk. Op die pagina draait een script (die dus wordt uitgevoerd door jouw browser aan de binnenkant) die heel snel command injections probeert.. bv. naar 192.168.178.1/start_apply.htm

Dan kan de attacker dus aanvallen zonder nog binnen te zijn. Daarnaast zijn er genoeg andere manieren om binnen te komen en daarna ook bereikbaar om een mooie backdoor van te maken om altijd naar binnen te kunnen.

Dat iets niet naar buiten op staat wilt niet zeggen dat je hem niet kan misbruiken.

[Reactie gewijzigd door SunnieNL op 5 juni 2025 17:14]

wiseger @SunnieNL • 5 juni 2025 17:17

Dan moet ik eerst in een phising poging trappen. Infecties met deze aantallen suggereren toch echt dat het niet het gevolg van een phising campagne is.

SunnieNL

@wiseger • 5 juni 2025 17:23

Als gebruikers automatische updates uitzetten en updates niet installeren zal een deel ervan ook wel zo handig zijn om remote toegang tot de interface open te zetten.

En jij trapt misschien niet in een phishing campaign, maar anderen wel. Daarnaast zijn er ook nog ander manieren. Ik weet niet of Asus een handige saas dienst heeft om van buiten toch op de modem te komen, ookal staat remote beheer op WAN uit.. genoeg die daar een standaard gebruikersnaam/wachtwoord op zetten die ze overal gebruiken.

Mogelijkerwijs misbruiken aanvallen meerdere kwetsbaarheden, naast deze ene CVE.

Er zijn zo veel mogelijkheden. Maar denken dat je een patch niet hoeft te installeren omdat je remote access over WAN niet open hebt staan, schaar ik onder dezelfde kop als automatisch updates uitzetten en de updates vervolgens ook zelf niet installeren of remote access over WAN wel aanzetten.

CVSS score van 8.8, staat op de KEV lijst en een EPSS score van 51% = gewoon installeren.

KEV lijst = installeren binnen 24 uur.

wiseger @SunnieNL • 5 juni 2025 17:28

Het kan dat Asus gekke dingen doet, maar dan zou dat een reden moeten zijn dat merk niet meer te gebruiken. Routers met Saas aan boord hebben tegenwoordig 2FA.

Ik stelde nimmer dat je een patch niet moet installeren, ik stelde dat je niet altijd meteen een patch moet installeren maar even moet wachten totdat je feedback op de patch ziet. Dat is heel iets anders. Genoeg gebruikers van Kef of Sonos die achteraf maar wat graag even gewacht hadden en nu met gebrickte speakers zitten.

Yannickto @wiseger • 7 juni 2025 16:40

Ik las net dat de meeste gevallen niet veranderende basis instellingen en/of te makkelijke passwoorden die brute force gebroken werden...

PaulHelper @watercoolertje • 4 juni 2025 12:28

Dan zet je het met een time window op een leuke period of op een datum range. Bijvoorbeeld tussen 12 en 4 snachts of de eerste dag van de maand/eerste keer daarna wanneer gemist.
Als automatisch updates goed ingesteld staan zijn ze normaal vrij moeiteloos.

Yannickto @PaulHelper • 7 juni 2025 16:42

En ik kan mij niet inbeelden waarom iemand geen nieuwe firmware zou installeren, je krijgt melding in de app en dan kan je zeggen, ik doe dat morgen of in het weekend, die melding verdwijnt die dan?

ari2asem @SunnieNL • 4 juni 2025 11:15

- zorgen dat automatisch update geintroduceerd wordt op de consumenten apparatuur zodat dit soort beveiligingsupdates zo snel mogelijk geinstalleerd worden op de apparatuur. Gebruikers vergeten dit namelijk en door de checkbox van auto-updates uit te schakelen leg je het gehele probleem wat nu bestaat in de toekomst bij de gebruiker die het bewust heeft uitgeschakeld. Daarnaast zou na uitschakelen dit continue in de interface moeten komen dat dit niet de aangeraade stand is.

ee nieuwe update is ook geen garantie dat er geen nieuwe bug insluipt.

heb vorige week een update op mijn router teru moeten draaien naar oudere versie. want met nieuwere versie kon ik geen kpn tv kijken.

dus automatisxh nieuwe update laten installeren is ook niet altijd zalig makend

turkeyhakan 4 juni 2025 10:55

Om welke routers gaat het? Is daar een lijstje van beschikbaar?

D11 4 juni 2025 11:12

Toegang via DDNS? Dat is toch alleen maar dat als het IP-adres van de router wijzigt dat er een centrale DNS geüpdatet wordt? Dat geeft niet direct toegang tot de router.

William_H @D11 • 4 juni 2025 11:37

Het verlaagt wel je beveiliging, dus het kan idd een rede zijn om dat uit te zetten. Daarnaast, dit weet ik niet, maar hadden misschien de aanvallers ook zelf aangezet, zodat ze altijd toegang houden tot je router.

D11 @William_H • 5 juni 2025 09:08

Als je de router toch al gehackt hebt, kun je ook gewoon een phone home functie inbouwen.

Rataplan_ 4 juni 2025 11:33

Wat ik niet zo snap; blijkbaar nesteld eea zich in NVRAM. Maar die kan Asus toch ook vanuit een update dan wel de firmware zelf checken en legen waar nodig? Waarom moet de eindgebruiker (die hier vaak geen flauw idee van heeft) een factory reset doen?

TheRollinLegend 4 juni 2025 11:41

En valt deze firmwareupdate onder de categorie "wettelijk verplicht"? Of moet ik akkoord gaan met de voorwaarden om deze update binnen te halen?

Net 2 dagen de RT-AX52, begint al leuk.. Ik krijg hem vies en stoffig binnen, kom erachter dat je geen firmwareupdates krijgt zonder akkoord te gaan met hun voorwaarden, en nu mag ik me daardoor dit afvragen. Ik heb normaliter nooit iets te klagen over Asus, maar dit...

timbe 4 juni 2025 13:02

Maar even voor de zekerheid, het gaat alleen om de .RT-AX55?
Zelf heb ik namelijk de oudere AC (CT8) AC3000.

sus 4 juni 2025 13:03

Is dit ook van toepassing als je Merlin hebt draaien ipv default Asus?

Op dit item kan niet meer gereageerd worden.

ASUS: verwijderen van recente botnetmalware vereist fabrieksreset

Lees meer

Reacties (76)

Sorteer op:

Weergave: