Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 61 reacties
Bron: Cisco, submitter: aliencowfarm

Cisco heeft bekend gemaakt dat een groot aantal van zijn routers kwetsbaar is voor een nieuw soort aanval: 'drive-by pharming'. Beveiligingsbedrijf Symantec heeft vorige week al gewaarschuwd voor deze nieuwe vorm van inbraak.

Met drive-by pharming (pdf) kan een aanvaller de controle over de router van een slachtoffer krijgen. Als het slachtoffer een website bezoekt, kan een javascript op die pagina gebruik maken van Cross Site Request Forgery om in te loggen op de router van het slachtoffer. Voorwaarde is wel dat het standaard wachtwoord van de router niet is gewijzigd. Als de aanvaller eenmaal controle over de router heeft kunnen verschillende instellingen gewijzigd worden. Het grootste risico voor het slachtoffer zal waarschijnlijk het aanpassen van de dns-instellingen zijn. Als de dns-servers gewijzigd zijn in servers die onder controle van de aanvaller staan, kan deze verkeer - bijvoorbeeld naar de site van de bank van het slachtoffer - omleiden naar een website van zichzelf.

Overzicht van drive-by pharming-aanval
Een overzicht van een drive-by pharming-aanval. 1. Een bezoeker bezoekt een website 2. Een Applet wordt gebruikt om het interne ip-adres te bepalen. 3. Javascript wordt gebruikt om de router te benaderen. 4. Door javascript-errors te interpreteren kan nauwkeurig gezocht worden naar de locatie en het type van de router. 5. Het script logt in op de router om instellingen te wijzigen

Het feit dat Cisco een waarschuwing op zijn site heeft gezet betekent niet dat routers van andere fabrikanten niet kwetsbaar zijn voor drive-by pharming. Vooral de routers die op de consumentenmarkt gericht zijn hebben een standaard wachtwoord dat tijdens de installatie niet hoeft te worden gewijzigd. Het zijn ook juist thuisgebruikers die waarschijnlijk niet de moeite nemen het door de fabrikant ingestelde wachtwoord te wijzigen. De eenvoudigste methode om het probleem te voorkomen is het wijzigen van het standaard wachtwoord van de router. Fabrikanten zullen ook na moeten denken over het standaardwachtwoordbeleid. Het zou beter zijn om bijvoorbeeld het serienummer van de router als wachtwoord te gebruiken. Dit nummer is eenvoudig beschikbaar voor de gebruiker, maar niet voor een aanvaller.

Moderatie-faq Wijzig weergave

Reacties (61)

wel slim bedacht...

toch vinden ze iedere keer weer wat nieuws uit.
Volgende versie wordt een script met brute-force attack op dat wachtwoord (en dat draait dan op je eigen pc)
en dan zorgt de router er gewoon voor dat je binnen een tijdspan van N minuten maar 3 pogingen om in te loggen mag doen.. zijn ze alle fout in de eerste paar seconden van het brute force scriptje, dan mag dat scriptje lekker N minuten wachten tot ie verder kan. Dan is het wel een tijdje bezig, en ondertussen kan de gebruiker zelf wellicht aan de router aflezen (nieuw LEDje?) dat iemand gepoogt heeft in te loggen zonder al teveel success.

naja.. zoiets :P
LED-je? Ik weet niet waar bij jou je router hangt, maar bij mij in de meter kast. En das nu niet echt een plaats waar ik dagelijks kom. :+
dan heb je probably ook geen cisco router, die hangen doorgaans niet in de meterkast...
Tsja, tis uiteraard wel weer een 'lek' dat eigenlijk veroorzaakt wordt door een gebruikersfout. Je moet gewoon altijd je router van een ander wachtwoord voorzien.
Je laat tenslotte op je pinpas ook niet 1234 als pin staan...
Bij de uitgifte van pincodes wordt op een aantal dingen gelet;
- Geen 4 op een volgende nummers(1234, 9876)
- Geen 4 dezelfde cijfers(1111,2222)
- Niet hetzelfde als je geboorte datum (29 december -> 2912)
Bij sommige banken mag je je pincode zelf kiezen, en dan is er heel wat mogelijk...
Klets, ik heb zelf ooit een pas met 4 dezelfde cijfers als pincode gehad.
Je zou eens moeten weten... :o
Idd, als Linux gebruiker ben ik heel fanatiek met wachtwoorden :9 Maar mn router... laat ik daar nu net geen wachtwoord op in gesteld hebben |:(
hee, hoe weet je mijn pincode :o
Voorwaarde is wel dat het standaard wachtwoord van de router niet is gewijzigd.

Dat is sowieso al een probleem met wardrivers, want het stikt van de open wireless verbindingen met SSID "default", "linksys", "dlink", etc. Standaard password gebruiken en je bent erin.
Zo makkelijk als jij het hier schets, gaat het niet hoor. Altans, niet met Linksys routers.....

Je kunt met de default instellingen alleen bij het admin panel komen met computers die met een kabel direct op de router zitten. Dus via wifi kom je er echt niet bij.
Oh, werkelijk? Kan je via Wifi niets doen met een linksys router? Waarom heb ik dan al een paar keer mijn Router (toch echt van linksys) prima kunnen configureren ZONDER een kabel er aan te hangen? Je moet altijd bij je router kunnen, ongeacht de interface. Denk maar es na, je hebt beneden je internet aansluiting en boven je computers. Ga je dan een kabel trekken en moeilijk doen om op 2 verdiepingen (1e verdieping en zolder) internet te hebben op de computers, of ga je lekker makkelijk draadloos werken? Tevens moet je wel aan kunnen loggen via wifi als je wat wilt aanpassen aan de instellingen. Ik ga iig niet mijn router afkoppelen, uit z'n mooi verborgen hoekje die moeilijk te bereiken is halen om een simpele instelling aan te passen omdat ik er niet op kan zonder kabel. Geef mij dan maar een andere.
Met de standaard instellingen kan je bij de meeste routers alleen via kabel de router beheren, dan moet je via WiFi aanzetten... Heb het iig al eens bij een Linksys aan moeten zetten.
Zover ik weet kun je bij Linksys standaard via WiFi rechtstreeks in de Router komen.
Ik ben de optie om dit uit te schakelen ook eigenlijk nooit tegen gekomen (correct me if i'm wrong).
Als ik een poosje met mijn laptopje door mijn wijk zou rijden, kan ik heel wat netwerkjes platleggen.
Voorwaarde is wel dat het standaard wachtwoord van de router niet is gewijzigd
Tja, dan verdien je het ook om gehackt te worden....

@ATS: Ja, als ik bij een loterij een auto win maar geen rijbewijs heb..... Oftewel: Als je dr geen verstand van hebt, moet je dr gewoon lekker afblijven.
Waarom? Als Jan Modaal zo'n ding heeft gekregen bij z'n aansluiting (geintegreerd modem/router) en er verder niets van weet... Goede kans dat hij niet eens weet dat zo'n ding een wachtwoord heeft of benaderd kan worden via een webinterface.

edit @sys64738:
Wat een onzinnige uitspraak. Als ik geen verstand heb van hoe mijn auto technisch werkt moet ik er dus ook maar afblijven? En zo ja, tot op welk niveau moet ik het volgens jou dan snappen? Datzelfde geldt natuurlijk voor computer technologie. Niet iedereen heeft zin, tijd of aanleg om zich in de achtergrond van een technologie te verdiepen. Dat wil naar mijn mening niet zeggen dat ze er daarom maar automatisch van af moeten blijven.
Ja en Jan Modaal heeft een website lopen achter de router waar ook iedereen bij kan komen...

Ten eerste is het zo, dat er een webserver achter de router moet lopen.
Ten eerste is het zo, dat er een webserver achter de router moet lopen.
Nee, het is een javascript in de browser van de gebruiker, die vervolgens de cisco van de gebruiker kraakt. en dat is wel aannemelijk!!!

Echter, je maakt mij niet wijs dat de gemiddelde gebruiker een cisco heeft staan, die dingen zijn te duur voor gewone consumenten. Hier op tweakers zul je waarschijnlijk meer gebruikers tegenkomen die zo'n ding hebben. (ik heb er hier zelfs een stuk of 5 staan).
@Arjankoole
Het feit dat Cisco een waarschuwing op zijn site heeft gezet betekent niet dat routers van andere fabrikanten niet kwetsbaar zijn voor drive-by pharming. Vooral de routers die op de consumentenmarkt gericht zijn hebben een standaard wachtwoord dat tijdens de installatie niet hoeft te worden gewijzigd.
Geld dus niet alleen voor Sisco`s
@arjankoole

cisco = linksys
@ragabash
Linksys = onderdeel van Cisco, niet Cisco == Linksys. Let hier op. Linksys is de consumenten afdeling. Als het werkelijk Cisco zou zijn, dan gebruiken ze hun eigen chip voor wifi kaarten ea apparaten, ipv RaLink en andere.
Waarom? Als Jan Modaal zo'n ding heeft gekregen bij z'n aansluiting (geintegreerd modem/router) en er verder niets van weet... Goede kans dat hij niet eens weet dat zo'n ding een wachtwoord heeft of benaderd kan worden via een webinterface.
Jan Modaal moet dan ook gewoon de handleiding maar eens lezen..of zich eens wat beter in de materie verdiepen. Waarom hebben mensen wel zin om te leren hoe ze hun filmpjes kunnen downloaden, maar geen zin om zich eens in de beveiliging van hun eigen netwerk te verdiepen?
Ik vind dat hier ook een taak is weggelegd voor de providers die deze routers leveren. Kleine moeite om zo'n doosje via een geautomatiseerd proces te configureren en er een random wachtwoord in te zetten. Dit wachtwoord kan dan op de klantenbrief worden vermeld. Kan ook gelijk het account en password voor de ADSL verbinding geprogrammeerd worden zodat het echt plug & play is voor de klant, maar wel veilig.

Of lever er als provider een klein installatieprogramma bij waarmee de klant simpel een naam kan kiezen voor zijn netwerk (SSID) en een nieuw wachtwoord. Zal ook zeker voor minder problemen / supportvragen zorgen op de helpdesk.
Nouja, dat is wat overdreven, maar "standaard wachtwoord" is altijd een slecht idee natuurlijk. Alleen al iets simpels (en dus eigenlijk ook al fouts) als je eigen naam zal ws. al een hele hoop standaard aanvallen doen falen.
Soms heb je zoiets nodig terwijl je er geen verstand van hebt. Moet zo iemand dit dan maar niet gebruiken? Soms is het niet nodig om ergens verstand van te hebben en is aansluiten genoeg om het te laten werken.
Hoeveel mensen zijn er niet die een paar kids met PC hebben die ook internet toegang nodig hebben? Die moeten dat dan allemaal maar via een verbinding via de hoofdPC doen? Beetje onzinnig.
Grappig dat Cisco 2 Apple producten gebruikt om een fout te illustreren in hun eigen (1) router.
2. Een Applet wordt gebruikt om het interne ip-adres te bepalen.
Er staat toch duidelijk Applet, geen Apple ;)
Hij doelt op het plaatje, daar staan 2 apple's
Ook "toevallig" :

Dat duivels ventje zou je als de mascotte van FreeBSD kunnen en Apple heeft daarvan weer de KERNEL voor OS X doorontwikkeld en dan ook nog een eventueel inderdaad die LinkSys als de WRT54GL zien waarop Linux draait zou dus betekenen dat het een FreeBSD computer is die een Linux bak aanvalt :D

* nero355 has no live ja klopt :+
Dat duivels ventje zou je als de mascotte van FreeBSD kunnen en Apple heeft daarvan weer de KERNEL voor OS X doorontwikkeld
Ik vind die duivel voor geen meter op Beastie lijken (en daarnaast, Beastie is een daemon, dat is geen duivel of demoon! - zie griekse mythologie)

Daarnaast heeft Mac OS X een mach64 microkernel, dus geen FreeBSD. wel is het zo dat de userland tools (top, ps, ls, etc) van FreeBSD afkomstig zijn oorspronkelijk.
Dat plaatje komt uit de pdf van Symantec, niet van Cisco. De router in het plaatje is ook niet van Cisco, trouwens.

edit: ja ik weet ook wel dat Linksys van Cisco is. Neemt niet weg dat dat plaatje een Linksys-product is, en geen Cisco-product. Als Cisco een artikel publiceert over een issue met Cisco-routers, dan gebruiken ze plaatjes van Cisco-routers, en niet van Linksys-routers.

En het plaatje hierboven komt nog steeds uit de pdf van Symantec, als iemand de moeite had genomen om de linkjes te volgen. ;)
Cisco = Linksys
Aangezien Linksys 100% dochter is van Cisco, is dit dus wel een Cisco product....
Jawel. Dat is de Linksys WRT54G(L), en Linksys is nog altijd van Cisco ;)
Ik ben jaren geleden al eens met dit soort praktijken in aanraking geweest, het is dat het bebeurde terwijl ik aan het internetten was anders had ik het nooit gemerkt.
Toen had ik al eens gevraagd hoe iemand mijn modem kon binnenkomen vanaf de buitenkant, dit kon niet en ik zag spoken.
Ik ben er achter gekomen dat ze een programma in mijn computer hadden geplaatst die weer kontakt maakte met het modem.
En die grappenmakers hadden het wachtwoord veranderd, ik kon er zelf niet meer in.

deze truuk is al jaren oud.
Als de truuk al jaren oud is, waarom doen ze er dan niks aan!!! ;(
zij moeten er niets aan doen, de gebruikers

die moeten het standaard wachtwoord veranderen, dan kan dat javascriptje proberen hoeveel het wil, het zal er niet inraken
Natuurlijk kan je het de gebruiker verwijten, maar ik vind dat ook de provider/leverancier blaam treft. Het gebruik van zo'n apparaat wordt vaak aanbevolen als een beveiliging van je netwerk, en zo worden ze ook gebruikt. Nu wordt je beveiliging ineens een risico!
Als die truc al jaren oud is zoals jij zegt, dan hadden de leveranciers actie moeten ondernemen door bij voorkeur die dingen niet af te leveren met een standaard wachtwoord, of anders de gebruikers te dwingen of duidelijk sterk aan te raden zelf een pasword te kiezen.

Ik vind het te vergelijken met de kritiek die er vaak is op de beveiliging van (oudere versies van) Windows. Wat mij betreft is het Microsoft aan te rekenen dat je standaard met een Administrator account werkte, en dat een beperkt account vaak niet werkbaar was. Had de gebruiker onder een ander, beperkt account moeten gaan werken? Ja, natuurlijk. Is het hem voor 100% aan te rekenen dat hij dat niet doet? Nee, want hij wordt niet bepaald gestimuleerd om dat te doen!

Apparaten en systemen moeten out of the box gewoon zo veilig mogelijk zijn.
Met andere woorden: niks aan de hand als je de pass veranderd hebt (wat toch altijd wel n goed idee is).
Tja, heb ik bij mijn Wanadoo / Orange LiveBox ook netjes gedaan. Na de eerste automatische update was hij weer terug bij af. Met Bluetooth op dat ding is het nog droeviger: dat kan niet uit en ook daar reset de PIN zich bij updates, voor zover ik kan nagaan.

Mijn schrik was dan ook groot toen ik van Orange recentlijk een mail kreeg met een juichverhaal dat je de LiveBox kunt beheren vanaf het internet |:(. Gelukkig bleek je dat nog net wél eerst zelf vanaf thuis aan te moeten zetten. Hopelijk zijn ze niet zo stom dat in een volgende update ook default te maken..
Ik vraag me eigenlijk af waarom een router zich in het algemeen laat benaderen van buiten af?
hij wordt dus door de computer die in het netwerk zit benaderd niet vanaf buiten af.
Daarom is het ook zo dat hij nog het standaard wachtwoord moet hebben anders accepteert de router/modem het niet als je dit hebt gewijzigd zoals de tweakers onder ons uiteraard wel doen!!
Het feit dat Cisco een waarschuwing op zijn site heeft gezet
wordt alleen opgemerkt door mensen die zich in hun modem/router aan het verdiepen zijn. Het lijkt me dat mensen die hun standaardpassword niet veranderen meestal niet tot die groep behoren. En dus kunnen ze misschien beter ook op een andere manier het aan de huidige klanten proberen duidelijk te maken.
Hoe had je dat in gedachten gehad? Mailtje? Postkaart? Meeste gebruikers registreren hun apparatuur niet eens dus Cisco kan ze niet direct bereiken. Publicatie wereldwijd in een of ander dagblad? Hoe weet je zeker dat juist dat dagblad bij de juiste mensen terecht komt?

Dit soort problemen blijven altijd bestaan zolang mensen gewoonweg de handleidingen niet lezen en de aanbevelingen niet volgen.
Waarom is JavaScript überhaupt in staat om pakketten te versturen? Dat is het grote beveiligingsrisico dat aan de basis van dit probleem ligt lijkt me.
Dat is een basisfunctionaliteit van alle AJAX achtige dingen. Redelijk crusiaal voor het moderne internet dus lijkt me...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True