'Populaire Linksys WRT54GL-router op afstand te kraken'

Miljoenen Linksys-routers zijn op afstand te hacken, claimt een beveiligingsbedrijf. Cisco zegt dat het beveiligingsprobleem al is gepatcht, maar volgens de ontdekkers van het lek staat het nog altijd open. Waar het probleem precies zit, is nog niet duidelijk.

Beveiligingsbedrijf DefenseCode stelt Cisco maanden geleden op de hoogte hebben gebracht van een beveiligingsprobleem in de Linksys WRT54GL-router. Cisco reageerde met de mededeling dat het lek in de laatste firmware-versie was opgelost, maar volgens DefenseCode is niets minder waar: in de nieuwste firmware-update zou het beveiligingsprobleem nog steeds aanwezig zijn.

DefenseCode wil nog niet kwijt waar het lek precies zit; meer details volgen over twee weken. Wel is duidelijk dat het om een beveiligingsprobleem gaat dat het aanvallers mogelijk maakt om van buiten af root-rechten te verkrijgen, en dat het lek op afstand te misbruiken is. Dat maakt het onder meer mogelijk om gebruikers af te luisteren.

Wat het probleem nog ernstiger maakt, is dat de betreffende router waarschijnlijk zeer wijdverspreid is: de router is vaak verkocht. Daarbij moet worden aangetekend dat het om een router uit 2005 gaat en veel verkochte exemplaren dus niet meer in gebruik zullen zijn. Cisco zegt tegenover The Register dat het bedrijf over de kwestie geen nieuwe mededelingen kan doen.

Door Joost Schellevis

Redacteur

Feedback • 15-01-2013 15:0879

15-01-2013 • 15:08

79 Linkedin

Lees meer

Linksys WRT54GL Wireless-G Broadband Router

geen prijs bekend

Score: 4.5

Linksys brengt mu-mimo-router EA8500 uit Nieuws van 7 mei 2015
Linksys komt met nieuwe WRT-router en nas-module Nieuws van 5 januari 2015
Onderzoekers simuleren virus-uitbraak via wifi-toegangspunten Nieuws van 26 februari 2014
Nieuw lek in Netgear WNDR3700-router geeft admintoegang Nieuws van 23 oktober 2013
Routerhacker is veroordeeld voor computervredebreuk Nieuws van 16 oktober 2013
Linksys komt met nieuwe 802.11ac-routers Nieuws van 5 september 2013
Onderzoekers vinden tientallen nieuwe lekken in populaire routers Nieuws van 5 augustus 2013
'Asus-routers zijn kwetsbaar door gaten in AiCloud-software' - update Nieuws van 16 juli 2013
Onderzoekers kraken dsl-modem KPN op afstand Nieuws van 11 april 2013
Hoge Raad: inbreken op router is wel strafbaar Nieuws van 26 maart 2013
Cisco geeft nieuwe firmware verouderd en zwak hashing-algoritme Nieuws van 20 maart 2013
Onderzoekers: Linksys-lek treft ook Asus, Cisco, TP-Link, Zyxel en Netgear Nieuws van 1 februari 2013
Belkin neemt Linksys over van Cisco Nieuws van 25 januari 2013
Linksys komt met drie 802.11ac-routers Nieuws van 7 januari 2013
UPC schakelt wps op afstand uit op routers vanwege lek - update Nieuws van 7 januari 2013
Ip-telefoons Cisco zijn op afstand af te luisteren Nieuws van 28 december 2012
Gerucht: Cisco wil Linksys verkopen Nieuws van 17 december 2012
Hacker wijzigt dns-entries van honderden Pakistaanse websites Nieuws van 25 november 2012
Meer producten en artikelen
Modems en routers Netwerk en systeembeheer Cisco Linksys

Reacties (79)

-Moderatie-faq
79
78
49
4
1
10
Wijzig sortering
Anoniem: 433976
15 januari 2013 17:45
In het artikel (en de kop) gaat het alleen over de WRT54GL, maar het betreft ALLE Linksys routers, volgens de bron.
Het is alleen op de WRT54GL getest/getoond.

" Exploit shown in this video has been tested on Cisco Linksys WRT54GL, but other
Linksys versions/models are probably also affected.
Cisco Linksys is a very popular router with more than 70,000,000 routers sold.
That's why we think that this vulnerability deserves attention"
comatoast
15 januari 2013 17:48
op afstand te hacken
ik zie alleen maar 192.168.1.1 ... sinds wanneer is "fysiek op hetzelfde netwerk" gelijk aan "op afstand"?
SaiKoTiK
15 januari 2013 15:36
Ik heb nog een originele wrt54G liggen.
Eentje van de tijd dat ze standaard nog op linux draaiden, en er dus nog geen L achter de naam stond om dat aan te stippen.
Ik veronderstel dat het probleem zich daar ook voor stelt, en niet alleen de 'nieuwere' versies?
Hobbit13
@SaiKoTiK15 januari 2013 15:57
yep, zijn exact de zelfde routers. Toen Linksys switchte naar een closed firmware brachten ze het oude model (WRT54G v4) onder de "L" (van Linux) uit.

De nieuwste stable build van DDWRT voor de WRT54 stamt trouwens uit 2008 en de recommended beta uit 2009. Dus de Apache etc. die daar in zitten hebben ook bekende lekken.
Petervanakelyen
@Hobbit1316 januari 2013 09:55
DD-WRT gebruikt geen Apache, maar milli_httpd. Volgens mij zijn er voor DD-WRT ook al tijden geen exploits meer uitgekomen.
vaserv
15 januari 2013 15:10
Nog een rede om er dd-wrt op te zetten.
Deem
@vaserv15 januari 2013 15:17
Wie zegt dat het probleem niet in DD-WRT zit? Is toch een fork van de originele firmware?
oliveroms
@Deem15 januari 2013 16:10
Nee hoor. Ze hebben de sources ooit wel gebruikt ja, maar met 'fork van originele firmware' moet je niet verder denken dan kernel en drivers.

Userspace apps (busybox etc) wordt gewoon van de source gebouwed. 0.0 redenen om de versie van linksys te gebruiken. Eigenlijk het enige wat je nodig hebt van linksys (initieel anyway) was support voor de gebruikte hardware (lees kernel patches voor de SoC) en vaak een binary blob voor de wifi. Al is dit laatste al heeeel lang niet meer van toepassing.
falcon1
@vaserv15 januari 2013 15:13
Of OpenWrt

http://wiki.openwrt.org/toh/linksys/wrt54g
http://www.dd-wrt.com/wiki/index.php/Linksys_WRT54G/GL/GS/GX
Astennu
@falcon115 januari 2013 15:31
Of Tomato :) Die is erg simpel qua interface en erg snel en stabiel.
CyberJack
@Astennu15 januari 2013 16:00
en verbruikt minder cpu/resources dan dd-wrt, waardoor ik in ieder geval een hogere internet snelheid aan kon. Toen was 80mbit voor die router op dd-wrt niet te doen, maar tomato had geen problemen.
Anoniem: 428323
@Astennu15 januari 2013 16:44
Ik heb pas mijn Tomato firmware vervangen door DD-WRT.
Tomato heeft geen WPA2 in de Client-Bridge mode.

Ook mijn WAP54G met Linksys firmware heb ik vervangen door DD-WRT, want die Linksys had ook al geen WPA2.

[Reactie gewijzigd door Anoniem: 428323 op 15 januari 2013 16:46]

layzzzz
@falcon115 januari 2013 15:14
Dat is toch het eerste wat je doet als je een WRT54GL koopt :)
Navi
@layzzzz15 januari 2013 17:17
0.01% ja, de rest van de mensen haalt hem uit de doos, stekker erin, en gaan, net zo lang totdat hij stuk is. (Dus er zullen er nog steeds een hoop in gebruik zijn)
StevenLiekens
@Navi15 januari 2013 18:55
Dat zijn dezelfde mensen die het wachtwoord gewoon op "admin" laten staan en dus sowieso niet geïnteresseerd zijn in beveiliging.
Forsakeneyes
@StevenLiekens15 januari 2013 19:16
Beetje kort door de bocht, nietwaar? Er is nogal een verschil tussen een wachtwoord aanpassen en de complete firmware veranderen. Ook ik draai geen alternatieve firmware op mijn 54GL, maar heb wel sterke wachtwoorden die ik regelmatig verander.

..Dit bericht zet me natuurlijk wel aan het denken.
StevenLiekens
@Forsakeneyes15 januari 2013 20:37
Het gaat erom dat deze 0.01% (bron?) net het hoofddoelwit is. Een gewone thuisgebruiker zonder verstand van beveiliging heeft over het algemeen weinig interessant internetverkeer voor een internetcrimineel. Wil je die gebruiker toch hacken, dan ben je op 10 minuten binnen door het standaard wachtwoord te raden.
R-v-R
@StevenLiekens15 januari 2013 21:08
" Een gewone thuisgebruiker zonder verstand van beveiliging heeft over het algemeen weinig interessant internetverkeer voor een internetcrimineel."

Dus mensen zonder verstand van beveiliging doen niet mee aan telebankieren en teleshoppen denk je?
StevenLiekens
@R-v-R15 januari 2013 21:37
We mogen toch hopen dat dit soort verkeer versleuteld over het net gaat, anders hebben we een veel groter probleem. Ik dacht eerder aan gevoelige emails die (in plain text) intern heen en weer gaan.

[Reactie gewijzigd door StevenLiekens op 15 januari 2013 21:48]

Kompaan
@StevenLiekens15 januari 2013 22:55
Probleem is dus dat als je router "geroot" is, iemand waarschijnlijk dns redirect naar een niet-zo-vriendelijke dns en/of iets als sslstrip installeert...
falcon1
@StevenLiekens16 januari 2013 10:31
En jij denkt dat een Router geen interssante node in een botnet is?

Routers draaien bijna altijd op een Linux kernel legaal of illegaal. Deze apparaten zijn 24/7 aan en verbonden met het internet en hebben een draadloze verbinding waatmee de buren ook weer te hacken zijn.

Ik zou me als botnet operator niet echt meer richten op desktops. Dit soort apparaten zijn veel interssanter.

En wat val er te halen bij een 'eenvoudige' thuis gebruiker?
- Credicard gegevens
- Bankgevens
- Persoonlijke informatie
- Toegans to berdrijfsnetwerken via thuiswerk toegang
- etc.

Duizend euro stelen van duizend mensen is alweer een miljoen.

Ik zou er niet al te licht over denkten
dtech
@falcon116 januari 2013 22:15
Een custom firmware is niet illegaal. Je hebt het recht om je eigen apparatuur aan te passen en de fabrikanten brengen zelf de kernels en drivers(hooks) publiek uit omdat ze daartoe verplicht worden door de GPL licentie van de linux kernel.
falcon1
@dtech21 januari 2013 15:56
Ik bedoelde juist dat de linux kernel op hardware vaak 'illegaal' door de fabrikant wordt gebruikt.

Dit omdat hij/zij zich niet aan de GPL houdt. Zij gebruiken de kernel en doen vaak ook aanpassingen en vertellen de koper daar helemaal niets over.

Heel veel android tablets/telefoons vallen gebruiken de kernel illegaal. MediaTek is denk ik de beruchtse "GPL violator" die zijn producten actief buiten azië verkoopt aan grote Andriod hardware fabrikanten.

Ik bedoelde niets te zeggen over de legaliteit van het gebruik custom firmwares.
HummerHealey
@Navi15 januari 2013 19:16
Ik.heb tijdelijk een 54G gehad. Alle beveiliging netjes aangezet, wachtwoorden veranderd, de hele mikmak,... Na een tijdje zag ik dat mn MacBook aan een open netwerk koppelde en mn eigen netwerk niet meer bereikbaar was. Wat bleek, de 54G had zich spontaan naar de fabrieks instellngen gereset en alles stond dus wagenwijd open. Dat ding is dus heel snel de deur uit gegaan.
Anoniem: 355895
@HummerHealey16 januari 2013 12:49
Op de voorkant van de router zit een oranje oplichtende knop met daarop het cisco logo. Bij het (iets te hard) raken van deze knop worden alle instellingen gereset naar fabrieksstand. Dit lijkt me een designfout.
dtech
@Navi16 januari 2013 22:13
De WRT54GL is (of eigenlijk was, omdat hij geen 802.11n bevat) zeer populair onder mensen die er een custom firmware op willen zetten. Deze versie is namelijk speciaal uitgebracht voor custom firmwares.

De WRT54GL is eigenlijk gewoon een WRT54G versie 4. Hij lag vaak naast de WRT54G v5 of hoger in de winkel, waar die laatste een tientje of wat goedkoper was.

Ik durf dus te wedden dat het percentage custom firmwares eerder 10% dan 1% is.
Deem
@vaserv15 januari 2013 15:25
Of, nog beter, Tomato!
Olaf van der Spek
@vaserv15 januari 2013 16:17
DD-WRT development staat een beetje op een laag pitje helaas.
Shanquish
@vaserv15 januari 2013 19:22
en wie geeft mij de garantie dat die wel dicht is dan?
Yalopa
@vaserv15 januari 2013 21:00
Want die heeft geen bugs?
Petervanakelyen
@Yalopa16 januari 2013 09:45
DD-WRT wordt wel door meer routers gebruikt dan enkel op de WRT54GL, de kans dat een bug opvalt is dus veel groter.
RoofTurkey
15 januari 2013 15:12
Al die beveiligingslekken ook overal. Om niet goed van te worden, maar nu is het belangrijkste dat het lek 'geheim' blijft en zo snel mogelijk weg wordt gepatcht. Het probleem is vaak alleen dat het moeilijk is voor dit soort bedrijven om al hun klanten in te lichten over het probleem. Communicatie hierover moet dus eigenlijk misschien in de toekomst worden verbeterd (misschien via een automatisch bericht via de betreffende router).

Dat ze het lek hebben gevonden is één ding, maar ik zou als klant wel altijd graag willen weten wat bijvoorbeeld erop kan wijzen dat iemand gebruik maakt van dit lek. Beter nog een manier om het lek zelf (tijdig) te kunnen dichten.

[Reactie gewijzigd door RoofTurkey op 15 januari 2013 15:15]

TunefulDJ_Mike
@RoofTurkey15 januari 2013 15:19
Daar ben ik inderdaad ook een voorstander van, mensen berichten om hun firmware te updaten. Eigenlijk zouden ze dit standaard moeten mededelen zodat iedereen altijd op de hoogte is. Misschien is het zelfs een beter idee om dit automatisch te laten doen, met behoud van instellingen natuurlijk en natuurlijk een off functie voor de tweakers onder ons.
Dreamvoid
@TunefulDJ_Mike15 januari 2013 18:09
Hoe wil je dat doen bij een router waar normaal gesproken niemand ooit meer op inlogt?
To_Tall
@Dreamvoid16 januari 2013 00:26
met terugwerkende kracht zal techniek niet zo snel aan lenen :)..

Maar nieuwe routers zou je dat bv wel kunnen doen :) Ik dacht alleen dat cisco zo'n concept al heeft bedacht in de nieuwe lijn routeren?? Echter stuite dat op behoorlijk wat ophef!!
Brede P
@RoofTurkey15 januari 2013 15:29
Sitecom (jaja, ik weet het, niet bij iedereen even populair) biedt deze mogelijkheid al enige tijd in hun routers. Tenminste, mijn WLR-6000 gaf dit zelf aan in de browser, gewoon tijdens het surfen, kwam er een balkje bovenin beeld met de melding dat er een nieuwe update voor de router was. Daarnaast biedt het merk ook nog wat extra functionaliteit qua beveiliging via hun Cloud Security optie, maar die is helaas (wel begrijpelijk) niet onbeperkt gratis.
rscheper
@Brede P15 januari 2013 15:41
De nieuwere Linksys routers hebben ook de mogelijkheid voor automatische updates, kun je zelf bepalen..
dasiro
@RoofTurkey15 januari 2013 18:09
zo snel mogelijk weg wordt gepatcht.
ding heeft geen auto-update functie, veel succes gewenst aan al de digibeten die je kent, die zelfs niet weten wat een router, exploit of patch is :P
Jol65
15 januari 2013 15:20
Hoe vaak upgrade je nu de firmware van je modem?
HKLM_
@Jol6515 januari 2013 15:27
Upgrade van je Firmare doe je inderdaad niet zo vaak. Maar zoals hier boven al is aangegeven is het dan juist handig om dit automatisch te doen.
arjankoole
@HKLM_15 januari 2013 15:59
automatisch brikken? nee dank je.

Ook firmware updates gaan wel eens fout namelijk. die hengel ik toch liever eerst binnen, doe dan een check met een sha256 hash, en als dat goed is, kan ik de firmware via een fysieke, stabiele, gigabit ethernet connectie op de router plempen.

Maar toegegeven, ik ben zo'n nerd die eens per week checked of er firmware updates zijn :)
Palomar
@HKLM_15 januari 2013 16:33
Wel link als je net op dat moment de stekker eruit trekt.
Bolletje
@HKLM_15 januari 2013 16:52
Automatisch? Liever niet; dan zit je opeens met een time-out als het misgaat. Heb je het zelfde gedoe als bijvoorbeeld een virusscanner automatisch update en dan bepaalde systeembestanden als kwaadaardig ziet. Dat is ook al meerdere keren voorgekomen.

Frappant dat het artikel melding maakt dat door de leeftijd veel van de routers uit de roulatie zijn. Dit model is nog geruime tijd verkocht (het is onder meer een populair model hier onder de tweakers). Zie prijsgrafiek maar eens: pricewatch: Linksys WRT54GL

Vooral in 2009 kende hij een hoogtepunt. Er zijn dan ook heel wat revisies er van geweest. Zelfs op het moment is hij nog vrij verkrijgbaar bij veel winkels; veel winkels hebben hem zelfs op voorraad.

Ondergetekende heeft er zelf ook één en ik zie zo snel geen noodzaak om hem te vervangen.
Wallioo
@Jol6515 januari 2013 15:34
en dat is precies het probleem wat hierboven ook aangegeven wordt. Liever een auto update met mogelijkheid om instellingen te behouden. Wil je dit niet omdat je dit zelf kan regelen en het ook doet, dan zet je de optie uit (opt-out systeem).

Edit:
zie dat jullie tegelijk postte.

[Reactie gewijzigd door Wallioo op 15 januari 2013 15:35]

Wirehead
15 januari 2013 15:11
Hetgeen ze tonen is wel op het interne netwerk. Belangrijker is om te weten of het extern ook zo is.
hawkeye73
@Wirehead15 januari 2013 15:43
Ik zag hetzelfde en vroeg me meteen ook af... dus alleen bekabeld en niet via wifi? Naja... bijna alles is te doorbreken als je fysiek toegang hebt...
sjongenelen
@hawkeye7315 januari 2013 16:06
Je haalt WAN en WLAN door elkaar; LAN kan net zo goed WiFi zijn,
hawkeye73
@sjongenelen16 januari 2013 12:17
Wat ik bedoelde te zeggen is... veel mensen denken dat het lek in het draadloze gedeelte zit...

de IP adressen die je ziet zijn 'local' geen echte public IP adressen... nu is het vaak dat routers (niet alleen cisco/linksys) vreemd reageren qua NAT als je 2x netwerk ip mask zelfde neemt...

Kun je dus wel toegang krijgen via de kabel maar niet via wifi...
Vorlon
@Wirehead15 januari 2013 15:21
Ja, dat was ook mijn eerste indruk. De onderliggende netwerkcode maakt uit zichzelf geen verschil tussen WAN en LAN, maar Linksys/Cisco zet default wel extra beveiligingsmaatregelingen op de WAN poort.

Dus ik zou inderdaad bevestigd willen hebben dat deze exploit poort onafhankelijk is. Wat meer info is zowieso wel handig, maar dan is het wel fijn dat er ook een patch of workaround is. (En dan niet "gebruik deze router niet")
cprompt
15 januari 2013 16:23
Iemand enig idee of dit lek ook speelt als de WRT alleen als access point gebruikt? Heb er hier nog een V2 liggen (ooit al eens geupgrade met de originele firmware zodat 'ie WPA2 ondersteunt) en wilde die binnenkort als AP inzetten, dus achter mijn router c.q. firewall.
Mijzelf
@cprompt15 januari 2013 16:55
In elk geval is die accesspoint niet van buitenaf bereikbaar. (Tenzij je router ook een lek heeft, natuurlijk.)
Exorcist
@cprompt15 januari 2013 17:00
Het lek zal er dan wel zijn, maar alleen intern te misbruiken. Daar er op de WAN aansluiting niets is aangesloten kan het geen kwaad. Of men moet je eerst door je primaire router heen..maar dan heb je sowieso een probleem ;)
ralfbosz
15 januari 2013 15:26
Als dit alleen een lokale exploit is, is die al een stuk minder 'erg'. Het is nog steeds niet wenselijk, maar opzich laat je alleen mensen op je netwerk toe die je vertrouwd, dus ga ervan uit dat die de boel niet gaan lopen hacken.

Over upgraden van je firmware, mijn router meldt het netjes als ik erop inlog. Alleen tja dan moet je wel inloggen en ook nog op ja drukken. Zelfde van maken als met windows, gewoon automatisch elke dinsdag om 3u en dan gelijk rebooten (nee laten we dat maar niet doen).
mcDavid
@ralfbosz15 januari 2013 16:07
Tegenwoordig zie je dat steeds meer inderdaad, maar bij de oude WRT54's met stock firmware (zoals 80% van de niet-tweakers ze zullen gebruiken) moet je toch echt zelf op zoek naar firmware-updates. Daar komt nog bij dat de gemiddelde niet-tweaker ook nooit op zijn router inlogt zoang hij gewoon verbinding heeft. Twee redenen waardoor het helaas zo goed als onmogelijk is om patches grootschalig uit te rollen op ditsoort netwerkapparatuur.
Anoniem: 271482
15 januari 2013 15:33
Die routers uit 2005 zijn nog volop in gebruik hoor. Zolang die aan de eisen van de gebruiker voldoet zal die niet vervangen worden.
Deem
@Anoniem: 27148215 januari 2013 15:36
Deze router is een begrip en heeft de hele custom firmware trend gestart voor internetrouters.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee