Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 40 reacties
Submitter: Hmmbob

Firmwareversie 1.0.1.4 van de Asus Wireless-N Gigabit Router RT-N56U bevat een kwetsbaarheid waardoor hackers eenvoudig het adminwachtwoord kunnen achterhalen. De aanvaller moet wel toegang hebben tot het netwerk.

Beveiligingsorganisatie US-CERT meldt dat een aanvaller met directe netwerktoegang een statuspagina kan openen. Op deze pagina toont de Asus RT-N56U het adminwachtwoord open en bloot zonder dat er om een wachtwoord gevraagd wordt.

Het probleem op de Asus-router treedt op bij versie 1.0.1.4 van de firmware. Als de router zo is geconfigureerd dat deze ook via internet is te beheren, dan kan ook van buitenaf het adminwachtwoord eenvoudig opgevraagd worden. Met het adminwachtwoord kan een aanvaller volledig toegang krijgen tot het netwerk en de configuratie van de router naar wens aanpassen. Zo zou onder meer de firewall uitgezet kunnen worden.

US-CERT heeft Asus gewaarschuwd. De fabrikant heeft inmiddels firmwareversie 1.0.1.4o uitgebracht om het beveiligingsgat te dichten. Verder raadt de US-CERT gebruikers van de RT-N56U aan om wan device management, een functie om de router via internet te beheren, uit te schakelen en alleen toegang tot de admininterface toe te staan via https.

Moderatie-faq Wijzig weergave

Reacties (40)

De problemen zijn helemaal niet meer te overzien wanneer de hacker een firmware installeert waarbij de flash functie verwijderd of vergrendeld is.

Het is leuk dat tegenwoordig zoveel apparatuur volledig op afstand te beheren is maar ik zou voor sommige functies toch liever een extra schakelaar op het apparaat zien, ook al kost dat een euro extra.

[Reactie gewijzigd door E_E_F op 30 augustus 2011 09:41]

tja, als je de router beheerfunctie aanzet aan de kant van het WAN, dan ben je ook stom bezig wat mij betreft.
Dat houdt in dat iedereen met je IP bij je modem-configuratie kan komen
idereen met je IP + wachtwoord...

neem een klein bedrijfje, met rond de 20 users.. deze heeft een sbs server - en een externe partij die deze beheerd.... is dan 'wan' toegang ook zo dom... stel je voor via het internet en in kunnen loggen op je server.... ...

echter het alter natief is iemand langs late komen voor de meest stompzinnige dingen... en dat wil je ook niet ... toch?

asus had gewoon beter moeten testen...
Ja, dan is WAN toegang ook zo dom...
Een router interface hoeft NOOIT toegankelijk te zijn aan de WAN kant. Om servers beschikbaar te maken op het intern netwerk gebruik je portforwarding...
Maar als het probleem net de router is wil je toch van op afstand eens kijken wat er mis kan zijn. Je kan altijd vragen om het ding uit te zetten en weer aan te zetten. Maar jammer genoeg zal dat niet altijd helpen :)

Je ip + lang paswoord is in mijn ogen toch net zo veilig. Anders kan je basic VPN's ook afschaffen...
En als de configuratie van de router moet worden aangepast, bv omdat het dhcp-bereik moet worden veranderd omdat er apparaten (printers, servers) bij gekomen zijn en deze een vast ip moeten krijgen buiten het DHCP-bereik?
Dan kan die externe partij gewoon een VPN servertje (desnoods gratis of erg goedkoop) inrichten, en vervolgens een site-to-site VPN opbouwen. Hoef je niet via de WAN poort te gaan want die vertrouw ik los van dit 'incident' sowieso al niet.
Voor beheer van computersystemen bij klanten adviseer ik altijd om een VPN tunnel te gebruiken.
Die is veilig. Met een goede router altijd beschikbaar en geeft je bij LAN-LAN tunnels toegang tot alle server/systemen van die klant.

Het openzetten van de beheer module van een router is inderdaad niet het meest veilige. Maar soms heb je dat gewoonweg nodig.
Gebruik in ieder geval niet poort 80, 443 of 8080 of zo voor de management interface avn de router. Maar kies iets wat compleet afwijkt zoals 52986 (beetje random). En zet er een super password op.
Dan weet je in ieder geval wel met zekerheid dat je bezoek van zo'n snodaard hebt gehad.
En dan vraag ik mij af wanneer de gemiddelde consument de nieuwe firmware gaat updaten. IMHO weet de gemiddelde consument echt niets van routers af, laat staan dat je die moet/kunt updaten.
Consumenten die geen verstand van Routers hebben hebben de remote-access functie van hun router uit staan. Het enige risico is dan dat iemand van binnenuit, of via een open draadloze verbinding het wachtwoord achterhaald.
Alleen consumenten die denken er verstand van te hebben zijn meestal gevaarlijker dan mensen die er geen verstand van hebben ;)

En er zijn er erg veel die het "denken"
en al weet je het wel (zoals ik): hoe vaak doet iemand het dan daadwerkelijk?
Vaak denk je hier pas aan als je problemen hebt. :)
Ik betwijfel of de "gemmidelde" consument deze router zou aanschaffen. Ik heb hem gekocht omdat het (gelijktijdig) ook 5Ghz ondersteunt en ondersteuning heeft voor torrents: heerlijk de hele dag downloaden terwijl de PC uitstaat, wat weer veel scheelt in energiekosten :).

Ik zal eens kijken welke firmware ik gebruik en updaten als het nodig is.
Juist zulke gaten geven aan dat iedere gebruiker zijn router thuis moet kunnen updaten, ook al heeft hij er, zals de meesten, de ballen verstand niet van. Het moet gewoon idiot-proof zijn, en als blijkt dat de firmware een beveiligingsgat of een serieuze bug heeft, dan moet ook de simpele gebruiker, als hij dat te weten is gekomen op een simpele manier die firmware kunnen updaten. Dat moet niet via een call-home moeten gebeuren, maar bv via een simpele download en een eenvoudige, begrijpbare handleiding (maximaal 1 pagina). Je kunt er niet van uitgaan dat die gebruiker een bepaald systeem zoals, bv een Windows-computer heeft. Dat kan ook een Apple zijn, of bv een Slim-PC (met Linux in de ROM), of alleen een telefoon (iOS/Android/Blackberry/Symbian/Bada/...)
en alleen toegang tot de admininterface toe te staan via http.
https hoop ik dat ze bedoelen?
httpS maakt het niet automatisch veilig.
Het is een beetje krom vertaald, dit staat er in de bron:
Restrict network access
Restrict network access to the ASUS's Wireless-N Gigabit Router RT-N56U system web interface and other devices using open protocols like HTTP.
Daar staat dus helemaal niet dat je alleen maar http moet toestaan, maar juist dat toegang tot apparaten via het 'open' (als in: onversleuteld) protocol http beperkt moet worden, bijvoorbeeld door slechts toegang vanaf bepaalde (interne) IP-adressen toe te staan.
Blijkbaar wordt het wachtwoord in het interne geheugen van deze router dus niet encrypted opgeslagen. Vind ik wel een heel erg kwalijke zaak; volgens mij weet toch wel bijna elke programmeur dat wachtwoorden encrypted opgeslagen moeten worden, zeker bij een toonaangevend bedrijf als Asus.
Geloof me maar dat veel bedrijven juist niet de wachtwoorden encrypted opslaan.
Ik heb met diverse grote partijen gewerkt en ik heb daadwerkelijk mkaar op een enkele plek de wachtwoorden encrypted zien staan.

Sterker nog. Grote multinationals keken me raar aan dat ik geen FTP wilde implementeren maar SFTP(SSH) of FTP+SSL
Dat alle gegeven via unencrypted op internet gaat, en men de de gegevens met redelijke eenvoud kunnen onderscheppen.
redelijke eenvoud vind ik toch niet opgaan voor een man in the middle attack, iemand moet dan binnen het bedrijf toegang tot de routers/switches krijgen, bij het endpoint of daartussen (ISP/etc), die eerste 2 zijn redelijk haalbaar, maar in dat geval zijn er vaak al aanvallen mogelijk die je ook niet meer uit de weg kan gaan met encryptie
Ze zijn wel subtiel in de changelog:
13. fix some GUI wording
:P

Edit: @Tomassie91: sst, dat was de grap.

[Reactie gewijzigd door CodeCaster op 30 augustus 2011 12:44]

als je wilt quoten van die pagina moet je het wel goed doen ;)
14. fix http server security vulnerability due to no authentication for URLs in white list
Ehm, welke idioot zou nu zijn router van af elke willekeurige internet verbinding willen kunnen beheren. Dat is bijna het zelfde als je thuis computer zo op zetten dat je voor admin/root toegang geen wachtwoord nodig hebt en natuurlijk van af overal kunt inloggen op het systeem (wel zo makkelijk toch?)

Ik kan er niets aan doen maar mensen die door zo'n "aanval" gehackt worden verdienen niet anders. Nu niet roepen dat ik hacken goedkeur, het is nu eenmaal zo dat we niet allemaal goed lief een aardig zijn en er van uitgaan dat het wel zo is is simpel weg dom.

Asus zal haar testers denk ik toch maar weer eens op een cursus testen op gapende beveiligings gaten moeten sturen want dit had tijdens het testen van de software toch wel gevonden moeten worden door minimaal 1 van de testers.

Hoe dan ook mocht je computer of netwerk overgenomen worden omdat je het wel een goed idee vond om deze van af het gehele internet te kunnen beheren dan is dat niets anders dan je eigen schuld.
Ik dus, ik vind het altijd wel prettig dat ik kan troubleshooten op mn router als mn server/pc niet bereikbaar zijn.
Waarom is dit idioot?

Mijn router kan ik ook vanaf elk ip adres benaderen, omdat ik vaak in het buitenland zit en een 20tal devices heb die geregeld op internet moeten.

Dus router herstarten, NAT instellingen etc allemaal op afstand.
SSH tunnel naar andere pc thuis kan ook al wonderen doen. Deze dan in FF instellen en je kunt zo op je thuis netwerk browsen.
Normaliter neem ik vanaf het internet een pc thuis over, en benader dan van binnenuit mijn router. Bv om FTP even op te zetten oid.
Als er thuis niks meer draait, kun je op je router ook niet veel meer doen, lijkt me.
errrm, een router via internet kunnen beheren is juist een enorm handige functie voor iedereen:
-geeks kunnen zelf op afstand verbindingen openen of sluiten

-en wat waarschijnlijk meer en meer gaat gebeuren: mensen kunnen een bevriende geek toegang geven tot de router om op afstand problemen op te lossen! Sterker nog, je zou hier hele contructies met onderhoudscontractjes e.d. aan kunnen kopppelen!
Hier nog een idioot....
Ik heb zowel m'n eigen router als de routers bij wat familie onder beheer, en heb overal externe toegang... dat gaat dan met een SSH-server waarop je niet met een password kan komen maar alleen met je public/private-key-pair.

Over die SSL-beveiligde verbinding kan ik dan tunnels open zetten naar verschillende poorten op of achter de router.... dus als m'n vader problemen heeft met z'n laptop kan ik er via RDP bij zonder dat RDP publiekelijk beschikbaar is..
Laatst zelfs op die manier wat bestanden op z'n netwerk-share gezet door de juiste poorten door te sturen...

Dus zolang je het goed beveiligd is er niets mis mee om vanaf het internet op je router te willen...
Ik denk dat jij het erover hebt dat je van buitenaf bij servers e.d kunt komen. Maar dat is niet waar het hier om gaat. Deze discussie gaat erom dat je van buitenaf bij de web-interface van je router kan komen.

Ik heb ook ssh toegang tot mijn server, maar mijn routerinterface kan ik niet van buiten benaderen.
Dus je moet a. toegang tot netwerk hebben, b. router zijn ingesteld op internetremote, c. de router nog niet gepatched moet zijn met de volgende update, dan mag je jezelf 'hacker' noemen?

Sorry, maar dit is geen hack, geen 'zware inbreuk op beveiliging', dit was gewoon een tijdelijk gaatje, een exploit op z'n hoogtst.
Het is A of B niet A en B. En dat er nu in allerijl een firmware update is uitgegeven neemt niet weg dat er waarschijnlijk legio verkocht zijn met de betreffende firmware. Misschien dat jij het doodgewoon vind om al je aparatuur ten alle tijden de laatste firmware te geven, maar ik denk dat 99,9% van de mensen die zoiets horen niet eens weten dat het kan, laat staan hoe het moet. Ze willen simpelweg hun laptop "draadloos internet" geven en hebben gehoord dat dit wel een goed kastje is. Als de router standaard configuratie via internet toestaat kan het probleem best groot zijn. Ik kan niet zien wat de standaard instelling is, maar ik hoop dat dit standaard uit staat in de desbetreffende firmware.
En anders is A ook te realiseren met drive by van slecht beveiligde wireless coneecties.
Maar in jouw wereld komt dat natuurlijk ook niet voor de wereld waarin iedereen al zijn apparaten dagelijks nieuwe firmware geeft en iedereen zijn spulletjes netjes afschermd.

Ik heb echter wel betere dingen te doen dan elke dag de firmware van mijn telefoon, camera, radio, modem, nas, tv, wifi access point, wii, ds te gaan controleren voor mogelijke updates laat staan alle inerne en externe componenten verbonden aan mijn pc en laptop. Want let wel alles wat direct of indirect aan je huisnetwerk of computer hangt heeft een potentieel beveiligingsrisico. tot aan je keyboard of je console of radio aan toe!
Mijn dlink router is een jaar geleden ook eens gehacked geweest ( bij mij stond web management zelfs uit ). Je leest er soms over , maar dat was toch ook het laatste wat ik had verwacht destijds. Zo'n routertje koop je , stel je in , en tenzij hij vastloopt , kom je er normaal niet meer aan toch ?

Ik had het destijds gemerkt doordat mijn hotmail account naar al mijn contacts spam mail verstuurde een combinatie van Engels en Nederlandse stukken , iets wat ik zelf nooit zou versturen. Ik was wel zo dom geweest mijn router pw en mijn hotmail account zelfde pw te geven 8)7 ) Mjn pc zelf was clean na scans met 2 AV'sen. Zo zie je maar...
erhm nee, ik denk dat ik bijna elke week wel iets instel, zoals bijvoorbeeld NAT. Ik geloof niet dat iemand jouw routertje gehacked heeft. Want ook al heeft hij je password, dan heeft 'hij' je e-mailadres nog niet.

Lijkt me dus gewoon een publieke PC geweest met keylogger
Toch niet , was mijn conclusie toen , maar ik heb er ook aan gedacht. Het is ook logisch dat je de pc eerst verdenkt. Dlink had destijds een spoed beta uitgebracht om dat lek te dichten , stond bijna letterlijk in de release notes van de firmware.
Het artikel heeft het over hackers, maar als het wachtwoord gewoon zichtbaar is, zonder een hack te plegen, dan noem ik het geen hacken meer.
Net als je voordeur openzetten, en iemand die binnenkomt een inbreker noemen.

Ik neem aan dat Asus dit ondertussen al heeft verholpen, maar nu moeten alle gebruikers nog worden ingelicht om de firmware te updaten...
Inderdaad.. dit is toch geen lek? Dit klinkt meer als een medewerker niet zo goed heeft nagedacht...
Een wachtwoord zonder enige check tonen?? Neej, dat klinkt totaal niet als een lek...
/sarcastische-toon-inbegrepen

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True