Cisco-routers kwetsbaar voor aanval via website

Cisco heeft bekend gemaakt dat een groot aantal van zijn routers kwetsbaar is voor een nieuw soort aanval: 'drive-by pharming'. Beveiligingsbedrijf Symantec heeft vorige week al gewaarschuwd voor deze nieuwe vorm van inbraak.

Met drive-by pharming (pdf) kan een aanvaller de controle over de router van een slachtoffer krijgen. Als het slachtoffer een website bezoekt, kan een javascript op die pagina gebruik maken van Cross Site Request Forgery om in te loggen op de router van het slachtoffer. Voorwaarde is wel dat het standaard wachtwoord van de router niet is gewijzigd. Als de aanvaller eenmaal controle over de router heeft kunnen verschillende instellingen gewijzigd worden. Het grootste risico voor het slachtoffer zal waarschijnlijk het aanpassen van de dns-instellingen zijn. Als de dns-servers gewijzigd zijn in servers die onder controle van de aanvaller staan, kan deze verkeer - bijvoorbeeld naar de site van de bank van het slachtoffer - omleiden naar een website van zichzelf.

Overzicht van drive-by pharming-aanval
Een overzicht van een drive-by pharming-aanval. 1. Een bezoeker bezoekt een website 2. Een Applet wordt gebruikt om het interne ip-adres te bepalen. 3. Javascript wordt gebruikt om de router te benaderen. 4. Door javascript-errors te interpreteren kan nauwkeurig gezocht worden naar de locatie en het type van de router. 5. Het script logt in op de router om instellingen te wijzigen

Het feit dat Cisco een waarschuwing op zijn site heeft gezet betekent niet dat routers van andere fabrikanten niet kwetsbaar zijn voor drive-by pharming. Vooral de routers die op de consumentenmarkt gericht zijn hebben een standaard wachtwoord dat tijdens de installatie niet hoeft te worden gewijzigd. Het zijn ook juist thuisgebruikers die waarschijnlijk niet de moeite nemen het door de fabrikant ingestelde wachtwoord te wijzigen. De eenvoudigste methode om het probleem te voorkomen is het wijzigen van het standaard wachtwoord van de router. Fabrikanten zullen ook na moeten denken over het standaardwachtwoordbeleid. Het zou beter zijn om bijvoorbeeld het serienummer van de router als wachtwoord te gebruiken. Dit nummer is eenvoudig beschikbaar voor de gebruiker, maar niet voor een aanvaller.

Door Peter de Boer

Doktersteam

Feedback • 23-02-2007 10:30
61 • submitter: aliencowfarm

23-02-2007 • 10:30

61

Submitter: aliencowfarm

Bron: Cisco

Lees meer

Nieuw patchalarm dns-servers na openbaarmaken kwetsbaarheid
Nieuw patchalarm dns-servers na openbaarmaken kwetsbaarheid Nieuws van 22 juli 2008
Cisco wil informatie over energieconsumptie verzamelen
Cisco wil informatie over energieconsumptie verzamelen Nieuws van 25 december 2007
Ca.gov-domein 'per ongeluk' zeven uur lang van de kaart
Ca.gov-domein 'per ongeluk' zeven uur lang van de kaart Nieuws van 4 oktober 2007
Cisco presenteert software voor interoperabiliteit
Cisco presenteert software voor interoperabiliteit Nieuws van 27 maart 2007
Cisco betaalt 3,2 miljard voor WebEx
Cisco betaalt 3,2 miljard voor WebEx Nieuws van 15 maart 2007
Cisco en IBM voegen ondersteuningsafdelingen samen
Cisco en IBM voegen ondersteuningsafdelingen samen Nieuws van 12 maart 2007
DNS-variant ddos-aanvallen lastig te bestrijden
DNS-variant ddos-aanvallen lastig te bestrijden Nieuws van 17 maart 2006
DNS-vervuiling 'pharming' nieuwe trend onder oplichters
DNS-vervuiling 'pharming' nieuwe trend onder oplichters Nieuws van 3 april 2005
Meer producten en artikelen
Bedrijfsnieuws

Reacties (61)

-Moderatie-faq
61
61
31
3
0
24
Wijzig sortering

Sorteer op:

Weergave:
takker 23 februari 2007 10:35
wel slim bedacht...

toch vinden ze iedere keer weer wat nieuws uit.
Volgende versie wordt een script met brute-force attack op dat wachtwoord (en dat draait dan op je eigen pc)
Verwijderd @takker23 februari 2007 12:55
en dan zorgt de router er gewoon voor dat je binnen een tijdspan van N minuten maar 3 pogingen om in te loggen mag doen.. zijn ze alle fout in de eerste paar seconden van het brute force scriptje, dan mag dat scriptje lekker N minuten wachten tot ie verder kan. Dan is het wel een tijdje bezig, en ondertussen kan de gebruiker zelf wellicht aan de router aflezen (nieuw LEDje?) dat iemand gepoogt heeft in te loggen zonder al teveel success.

naja.. zoiets :P
Nickname55 @Verwijderd23 februari 2007 17:35
LED-je? Ik weet niet waar bij jou je router hangt, maar bij mij in de meter kast. En das nu niet echt een plaats waar ik dagelijks kom. :+
AJ @Nickname5525 februari 2007 03:31
dan heb je probably ook geen cisco router, die hangen doorgaans niet in de meterkast...
Tees 23 februari 2007 10:37
Tsja, tis uiteraard wel weer een 'lek' dat eigenlijk veroorzaakt wordt door een gebruikersfout. Je moet gewoon altijd je router van een ander wachtwoord voorzien.
Je laat tenslotte op je pinpas ook niet 1234 als pin staan...
sanzut @Tees23 februari 2007 10:57
Bij de uitgifte van pincodes wordt op een aantal dingen gelet;
- Geen 4 op een volgende nummers(1234, 9876)
- Geen 4 dezelfde cijfers(1111,2222)
- Niet hetzelfde als je geboorte datum (29 december -> 2912)
Asteroid9 @sanzut23 februari 2007 11:09
Bij sommige banken mag je je pincode zelf kiezen, en dan is er heel wat mogelijk...
Verwijderd @sanzut23 februari 2007 15:26
Klets, ik heb zelf ooit een pas met 4 dezelfde cijfers als pincode gehad.
OruBLMsFrl @Tees23 februari 2007 10:40
Je zou eens moeten weten... :o
Nickname55 @OruBLMsFrl23 februari 2007 17:39
Idd, als Linux gebruiker ben ik heel fanatiek met wachtwoorden :9 Maar mn router... laat ik daar nu net geen wachtwoord op in gesteld hebben |:(
Verwijderd @Tees23 februari 2007 11:37
hee, hoe weet je mijn pincode :o
Dreamvoid
23 februari 2007 10:38
Voorwaarde is wel dat het standaard wachtwoord van de router niet is gewijzigd.

Dat is sowieso al een probleem met wardrivers, want het stikt van de open wireless verbindingen met SSID "default", "linksys", "dlink", etc. Standaard password gebruiken en je bent erin.
sys64738 Moderator F&V @Dreamvoid23 februari 2007 10:46
Zo makkelijk als jij het hier schets, gaat het niet hoor. Altans, niet met Linksys routers.....

Je kunt met de default instellingen alleen bij het admin panel komen met computers die met een kabel direct op de router zitten. Dus via wifi kom je er echt niet bij.
Hero of Time Moderator LNX @sys6473823 februari 2007 12:11
Oh, werkelijk? Kan je via Wifi niets doen met een linksys router? Waarom heb ik dan al een paar keer mijn Router (toch echt van linksys) prima kunnen configureren ZONDER een kabel er aan te hangen? Je moet altijd bij je router kunnen, ongeacht de interface. Denk maar es na, je hebt beneden je internet aansluiting en boven je computers. Ga je dan een kabel trekken en moeilijk doen om op 2 verdiepingen (1e verdieping en zolder) internet te hebben op de computers, of ga je lekker makkelijk draadloos werken? Tevens moet je wel aan kunnen loggen via wifi als je wat wilt aanpassen aan de instellingen. Ik ga iig niet mijn router afkoppelen, uit z'n mooi verborgen hoekje die moeilijk te bereiken is halen om een simpele instelling aan te passen omdat ik er niet op kan zonder kabel. Geef mij dan maar een andere.
DizzyWeb @Hero of Time23 februari 2007 12:38
Met de standaard instellingen kan je bij de meeste routers alleen via kabel de router beheren, dan moet je via WiFi aanzetten... Heb het iig al eens bij een Linksys aan moeten zetten.
Verwijderd @Hero of Time23 februari 2007 23:03
Zover ik weet kun je bij Linksys standaard via WiFi rechtstreeks in de Router komen.
Ik ben de optie om dit uit te schakelen ook eigenlijk nooit tegen gekomen (correct me if i'm wrong).
Als ik een poosje met mijn laptopje door mijn wijk zou rijden, kan ik heel wat netwerkjes platleggen.
sys64738 Moderator F&V 23 februari 2007 10:37
Voorwaarde is wel dat het standaard wachtwoord van de router niet is gewijzigd
Tja, dan verdien je het ook om gehackt te worden....

@ATS: Ja, als ik bij een loterij een auto win maar geen rijbewijs heb..... Oftewel: Als je dr geen verstand van hebt, moet je dr gewoon lekker afblijven.
ATS @sys6473823 februari 2007 10:48
Waarom? Als Jan Modaal zo'n ding heeft gekregen bij z'n aansluiting (geintegreerd modem/router) en er verder niets van weet... Goede kans dat hij niet eens weet dat zo'n ding een wachtwoord heeft of benaderd kan worden via een webinterface.

edit @sys64738:
Wat een onzinnige uitspraak. Als ik geen verstand heb van hoe mijn auto technisch werkt moet ik er dus ook maar afblijven? En zo ja, tot op welk niveau moet ik het volgens jou dan snappen? Datzelfde geldt natuurlijk voor computer technologie. Niet iedereen heeft zin, tijd of aanleg om zich in de achtergrond van een technologie te verdiepen. Dat wil naar mijn mening niet zeggen dat ze er daarom maar automatisch van af moeten blijven.
Verwijderd @ATS23 februari 2007 11:12
Ja en Jan Modaal heeft een website lopen achter de router waar ook iedereen bij kan komen...

Ten eerste is het zo, dat er een webserver achter de router moet lopen.
arjankoole
@Verwijderd23 februari 2007 12:01
Ten eerste is het zo, dat er een webserver achter de router moet lopen.
Nee, het is een javascript in de browser van de gebruiker, die vervolgens de cisco van de gebruiker kraakt. en dat is wel aannemelijk!!!

Echter, je maakt mij niet wijs dat de gemiddelde gebruiker een cisco heeft staan, die dingen zijn te duur voor gewone consumenten. Hier op tweakers zul je waarschijnlijk meer gebruikers tegenkomen die zo'n ding hebben. (ik heb er hier zelfs een stuk of 5 staan).
marquis @Verwijderd23 februari 2007 12:15
@Arjankoole
Het feit dat Cisco een waarschuwing op zijn site heeft gezet betekent niet dat routers van andere fabrikanten niet kwetsbaar zijn voor drive-by pharming. Vooral de routers die op de consumentenmarkt gericht zijn hebben een standaard wachtwoord dat tijdens de installatie niet hoeft te worden gewijzigd.
Geld dus niet alleen voor Sisco`s
RagaBaSH @Verwijderd23 februari 2007 12:15
@arjankoole

cisco = linksys
Hero of Time Moderator LNX @Verwijderd23 februari 2007 12:18
@ragabash
Linksys = onderdeel van Cisco, niet Cisco == Linksys. Let hier op. Linksys is de consumenten afdeling. Als het werkelijk Cisco zou zijn, dan gebruiken ze hun eigen chip voor wifi kaarten ea apparaten, ipv RaLink en andere.
labtech @ATS23 februari 2007 11:08
Waarom? Als Jan Modaal zo'n ding heeft gekregen bij z'n aansluiting (geintegreerd modem/router) en er verder niets van weet... Goede kans dat hij niet eens weet dat zo'n ding een wachtwoord heeft of benaderd kan worden via een webinterface.
Jan Modaal moet dan ook gewoon de handleiding maar eens lezen..of zich eens wat beter in de materie verdiepen. Waarom hebben mensen wel zin om te leren hoe ze hun filmpjes kunnen downloaden, maar geen zin om zich eens in de beveiliging van hun eigen netwerk te verdiepen?
Milt @ATS23 februari 2007 11:13
Ik vind dat hier ook een taak is weggelegd voor de providers die deze routers leveren. Kleine moeite om zo'n doosje via een geautomatiseerd proces te configureren en er een random wachtwoord in te zetten. Dit wachtwoord kan dan op de klantenbrief worden vermeld. Kan ook gelijk het account en password voor de ADSL verbinding geprogrammeerd worden zodat het echt plug & play is voor de klant, maar wel veilig.

Of lever er als provider een klein installatieprogramma bij waarmee de klant simpel een naam kan kiezen voor zijn netwerk (SSID) en een nieuw wachtwoord. Zal ook zeker voor minder problemen / supportvragen zorgen op de helpdesk.
ThE_ED @sys6473823 februari 2007 10:51
Nouja, dat is wat overdreven, maar "standaard wachtwoord" is altijd een slecht idee natuurlijk. Alleen al iets simpels (en dus eigenlijk ook al fouts) als je eigen naam zal ws. al een hele hoop standaard aanvallen doen falen.
TheCapK @sys6473823 februari 2007 16:03
Soms heb je zoiets nodig terwijl je er geen verstand van hebt. Moet zo iemand dit dan maar niet gebruiken? Soms is het niet nodig om ergens verstand van te hebben en is aansluiten genoeg om het te laten werken.
Hoeveel mensen zijn er niet die een paar kids met PC hebben die ook internet toegang nodig hebben? Die moeten dat dan allemaal maar via een verbinding via de hoofdPC doen? Beetje onzinnig.
Verwijderd 23 februari 2007 10:43
Grappig dat Cisco 2 Apple producten gebruikt om een fout te illustreren in hun eigen (1) router.
Jeroen 98675432 @Verwijderd23 februari 2007 11:10
2. Een Applet wordt gebruikt om het interne ip-adres te bepalen.
Er staat toch duidelijk Applet, geen Apple ;)
sanzut @Jeroen 9867543223 februari 2007 11:37
Hij doelt op het plaatje, daar staan 2 apple's
Verwijderd @Verwijderd23 februari 2007 10:49
Dat plaatje komt uit de pdf van Symantec, niet van Cisco. De router in het plaatje is ook niet van Cisco, trouwens.

edit: ja ik weet ook wel dat Linksys van Cisco is. Neemt niet weg dat dat plaatje een Linksys-product is, en geen Cisco-product. Als Cisco een artikel publiceert over een issue met Cisco-routers, dan gebruiken ze plaatjes van Cisco-routers, en niet van Linksys-routers.

En het plaatje hierboven komt nog steeds uit de pdf van Symantec, als iemand de moeite had genomen om de linkjes te volgen. ;)
sanzut @Verwijderd23 februari 2007 10:59
Cisco = Linksys
sys64738 Moderator F&V @Verwijderd23 februari 2007 10:59
Aangezien Linksys 100% dochter is van Cisco, is dit dus wel een Cisco product....
Plofkotje @Verwijderd23 februari 2007 11:12
Jawel. Dat is de Linksys WRT54G(L), en Linksys is nog altijd van Cisco ;)
nero355 @Verwijderd23 februari 2007 11:54
Ook "toevallig" :

Dat duivels ventje zou je als de mascotte van FreeBSD kunnen en Apple heeft daarvan weer de KERNEL voor OS X doorontwikkeld en dan ook nog een eventueel inderdaad die LinkSys als de WRT54GL zien waarop Linux draait zou dus betekenen dat het een FreeBSD computer is die een Linux bak aanvalt :D

* nero355 has no live ja klopt :+
arjankoole
@nero35523 februari 2007 12:04
Dat duivels ventje zou je als de mascotte van FreeBSD kunnen en Apple heeft daarvan weer de KERNEL voor OS X doorontwikkeld
Ik vind die duivel voor geen meter op Beastie lijken (en daarnaast, Beastie is een daemon, dat is geen duivel of demoon! - zie griekse mythologie)

Daarnaast heeft Mac OS X een mach64 microkernel, dus geen FreeBSD. wel is het zo dat de userland tools (top, ps, ls, etc) van FreeBSD afkomstig zijn oorspronkelijk.
BèR 23 februari 2007 10:37
Met andere woorden: niks aan de hand als je de pass veranderd hebt (wat toch altijd wel n goed idee is).
Gwaihir @BèR23 februari 2007 13:21
Tja, heb ik bij mijn Wanadoo / Orange LiveBox ook netjes gedaan. Na de eerste automatische update was hij weer terug bij af. Met Bluetooth op dat ding is het nog droeviger: dat kan niet uit en ook daar reset de PIN zich bij updates, voor zover ik kan nagaan.

Mijn schrik was dan ook groot toen ik van Orange recentlijk een mail kreeg met een juichverhaal dat je de LiveBox kunt beheren vanaf het internet |:(. Gelukkig bleek je dat nog net wél eerst zelf vanaf thuis aan te moeten zetten. Hopelijk zijn ze niet zo stom dat in een volgende update ook default te maken..
Verwijderd 23 februari 2007 11:41
Ik ben jaren geleden al eens met dit soort praktijken in aanraking geweest, het is dat het bebeurde terwijl ik aan het internetten was anders had ik het nooit gemerkt.
Toen had ik al eens gevraagd hoe iemand mijn modem kon binnenkomen vanaf de buitenkant, dit kon niet en ik zag spoken.
Ik ben er achter gekomen dat ze een programma in mijn computer hadden geplaatst die weer kontakt maakte met het modem.
En die grappenmakers hadden het wachtwoord veranderd, ik kon er zelf niet meer in.

deze truuk is al jaren oud.
Verwijderd @Verwijderd23 februari 2007 11:48
Als de truuk al jaren oud is, waarom doen ze er dan niks aan!!! ;(
Ali3nSt0rmz @Verwijderd23 februari 2007 12:29
zij moeten er niets aan doen, de gebruikers

die moeten het standaard wachtwoord veranderen, dan kan dat javascriptje proberen hoeveel het wil, het zal er niet inraken
ATS @Ali3nSt0rmz23 februari 2007 16:35
Natuurlijk kan je het de gebruiker verwijten, maar ik vind dat ook de provider/leverancier blaam treft. Het gebruik van zo'n apparaat wordt vaak aanbevolen als een beveiliging van je netwerk, en zo worden ze ook gebruikt. Nu wordt je beveiliging ineens een risico!
Als die truc al jaren oud is zoals jij zegt, dan hadden de leveranciers actie moeten ondernemen door bij voorkeur die dingen niet af te leveren met een standaard wachtwoord, of anders de gebruikers te dwingen of duidelijk sterk aan te raden zelf een pasword te kiezen.

Ik vind het te vergelijken met de kritiek die er vaak is op de beveiliging van (oudere versies van) Windows. Wat mij betreft is het Microsoft aan te rekenen dat je standaard met een Administrator account werkte, en dat een beperkt account vaak niet werkbaar was. Had de gebruiker onder een ander, beperkt account moeten gaan werken? Ja, natuurlijk. Is het hem voor 100% aan te rekenen dat hij dat niet doet? Nee, want hij wordt niet bepaald gestimuleerd om dat te doen!

Apparaten en systemen moeten out of the box gewoon zo veilig mogelijk zijn.
Verwijderd 23 februari 2007 10:40
Het eerste wat je op een Cisco-router doet, is je toegang regelen... Ik denk dat er heel erg weinig Cisco-routers zijn waarop je nog met "cisco" kunt inloggen.

Het artikel meldt dan ook dat waar het Cisco-routers betreft, het beperkt is tot de oudere 800-serie (827, 837, etc, dus NIET de nieuwere 850/870's) en de SOHO-serie, die niet echt "nieuw" meer zijn. Deze routers hebben een standaard wachtwoord op de webinterface (als deze al geinstalleerd is).

Beetje misleidende titel dus, het is niet zo dat de huidige modellen van Cisco hier vulnerable voor zijn. Het "groot aantal" is dus een beetje overdreven.

Maar zoals ze zelf al aangeven is het risico ook aanwezig op consumentenrouters. (Vandaar ook het Linksys-routertje in het plaatje?)
Het zou beter zijn om bijvoorbeeld het serienummer van de router als wachtwoord te gebruiken. Dit nummer is eenvoudig beschikbaar voor de gebruiker, maar niet voor een aanvaller.
Totdat een slimmerik achterhaalt hoe het serienummer gekoppeld wordt aan het mac-adres wat zo te achterhalen is... Desnoods via een database op internet waar het scriptje ook toegang toe kan hebben.
Eomer 23 februari 2007 13:11
Het feit dat Cisco een waarschuwing op zijn site heeft gezet
wordt alleen opgemerkt door mensen die zich verdiepen in hun router. Lijkt me dat iemand die het standaardpassword niet verandert niet tot die groep hoort (in de meeste gevallen)....
Eomer 23 februari 2007 13:15
Het feit dat Cisco een waarschuwing op zijn site heeft gezet
wordt alleen opgemerkt door mensen die zich in hun modem/router aan het verdiepen zijn. Het lijkt me dat mensen die hun standaardpassword niet veranderen meestal niet tot die groep behoren. En dus kunnen ze misschien beter ook op een andere manier het aan de huidige klanten proberen duidelijk te maken.
Diabolical @Eomer23 februari 2007 13:56
Hoe had je dat in gedachten gehad? Mailtje? Postkaart? Meeste gebruikers registreren hun apparatuur niet eens dus Cisco kan ze niet direct bereiken. Publicatie wereldwijd in een of ander dagblad? Hoe weet je zeker dat juist dat dagblad bij de juiste mensen terecht komt?

Dit soort problemen blijven altijd bestaan zolang mensen gewoonweg de handleidingen niet lezen en de aanbevelingen niet volgen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq