Onderzoeker waarschuwt voor kwetsbaarheid in TP-Link-routers

Een Duitse beveiligingsonderzoeker waarschuwt bezitters van vier verschillende routers van de firma TP-Link om hun firmwareversie te controleren en zo nodig de software te updaten. Hackers zouden een bug actief misbruiken waardoor de dns-server eenvoudig is te wijzigen.

Beveiligingsonderzoeker Jakob Lell meldt op zijn weblog dat de firmware van vier routermodellen kwetsbaar kan zijn. Het gaat om de TP-Link WR1043ND V1, TL-MR3020, TL-WDR3600 en WR710N. Deze routers bevatten een bug in de firmware waardoor via een relatief eenvoudige javascript-exploit de dns-server gewijzigd kan worden.

Lell zegt dat hij een server heeft ingericht als een 'honeypot' door een kwetsbare router van TP-Link te emuleren. Daarmee ontdekte hij zeker vijf websites waarop via een gerichte exploit de dns-server werd gewijzigd. Hierdoor kunnen kwaadwillenden onder andere wachtwoorden buitmaken door gebruikers te routeren naar sites met malware. Ook kan verkeer onderschept worden of advertenties op sites kunnen worden gewijzigd naar andere adservers.

De beveiligingsonderzoeker stelt dat gebruikers die een dergelijke router van TP-Link beschikken zo snel mogelijk de laatste firmware dienen te installeren. Ook beschrijft de Duitser een methode waarmee relatief snel kan worden nagegaan of een router kwetsbaar is.

Reacties (56)

ArcticTiger 31 oktober 2013 16:11

Directe link naar de laatste firmware voor de TL-WR1043ND V1
Link naar de download pagina voor de TL-WR1043ND V1

Upgraden is een kwestie van luttele minuten.
Zojuist toch maar even gedaan

[Reactie gewijzigd door ArcticTiger op 24 juli 2024 23:13]

Bramzie @ArcticTiger • 31 oktober 2013 18:18

En hier de DDWRT versie:
Initial flash (eerst deze flashen)
daarna deze om het af te maken
Mocht je toch weer stock firmware willen draaien, kan je deze flash gebruiken

RedRayMann @Bramzie • 1 november 2013 10:06

Offtopic;
Tnx, zojuist gemeld dat ik altijd update maar niet durf te updaten naar DDWRT, maar ga dit thuis zeker doornemen!

Bramzie @RedRayMann • 1 november 2013 18:40

Het is super easy! ik heb vannochtend nog een wr1043nd geflashed met DDWRT, het is letterlijk een klusje van een paar minuten :-) mocht je hulp nodig hebben (wil het ook wel remote voor je doen stuur me maar een berichtje :-) )

*edit, die portforwarding kan ik je natuurlijk ook even mee helpen :-)

[Reactie gewijzigd door Bramzie op 24 juli 2024 23:13]

XanaduNL @ArcticTiger • 31 oktober 2013 16:16

28 april 2013, dus de bug is een tijd geleden al gedicht.

Tukkertje-RaH @XanaduNL • 31 oktober 2013 16:22

28 april 2013, dus de bug is een tijd geleden al gedicht

Precies! En dat is een van de nare punten van gaten in router firmware - wie kijkt daar nou nog naar om?!?

De kwetsbaarheid stelt anderen in staat (onder zekere voorwaarden) je DNS server te wijzigen naar een onder controle van hackers. En zodra dat gebeurt ben je flink de sjaak, want nagenoeg al je netwerk verkeer wordt voorafgegaan door een DNS lookup... Je windows update, banksite, etc - allemaal niet meer te vertrouwen.

Mocht je denken last te hebben van een hack, check dan de DNS settings in je router: als daar een vreemd IP adres als eerst genoemd staat (geen IP adres van je provider), dan heb je een probleem. Wijzigen naar 8.8.8.8 en 8.8.4.4 (beide van google) verhelpen het. (alhoewel je je dan weer zorgen kan gaan maken over je privacy)...

[Reactie gewijzigd door Tukkertje-RaH op 24 juli 2024 23:13]

ArcticTiger @XanaduNL • 31 oktober 2013 16:20

Daar heb je zeker gelijk in, maar niet iedereen controleert met regelmaat of er nieuwe updates zijn voor zijn-haar router (ben daar zelf in dit geval ook schuldig aan).

Verwijderd @ArcticTiger • 31 oktober 2013 17:00

Zojuist ook even firmware upgrade gedaan.
Duurde echter iets langer aangezien m'n modem teruggebracht werd naar factory settings

.
Note to self: volgende keer een backup van de settings maken.

J0J0 @Verwijderd • 31 oktober 2013 21:48

Note to you: of de settings opschrijven(print scrn maybe?), of de settings onthouden!

Als je een firmware update hebt uitgevoerd, kan je beter geen configuratiebackup terug zetten van een oudere firmware.
Dit wel doen kan vreemd gedrag en eventueel crashes veroorzaken.

[Reactie gewijzigd door J0J0 op 24 juli 2024 23:13]

teddysleep 31 oktober 2013 17:46

Je moet al ingelogd zijn op je router voordat de hack werkt. En ik denk niet dat er veel mensen ganse dagen in hun router zitten rond te neuzen

. Ik denk echter wel dat de niet pc enthousiast mens het paswoord niet gaat veranderd hebben, en daardoor zal de hack toch nog slagen op een groot deel van de routers.

SCS2 31 oktober 2013 19:13

Beetje vaag dat er nergens staat welke versie ok is.
Maar op zijn site staat het wel:

TP-Link WR1043ND V1 up to firmware version 3.3.12 build 120405 is vulnerable (version 3.3.13 build 130325 and later is not vulnerable)

TP-Link TL-MR3020: firmware version 3.14.2 Build 120817 Rel.55520n and version 3.15.2 Build 130326 Rel.58517n are vulnerable (but not affected by current exploit in default configuration)

TL-WDR3600: firmware version 3.13.26 Build 130129 Rel.59449n and version 3.13.31 Build 130320 Rel.55761n are vulnerable (but not affected by current exploit in default configuration)

WR710N v1: 3.14.9 Build 130419 Rel.58371n is not vulnerable

sambalbaj 31 oktober 2013 19:20

meuk: TP-Link TL-WR1043ND 1_130428

Het inlogscherm hadden ze al aangepakt bij die update. Blijkt toch een heel belangrijke en ook al is die van 28 april, dat zullen toch veel thuisgebruikers nooit doen.

Wel altijd backupp maken voor firmware update en nadien ff de stroom er af.

roscopc 31 oktober 2013 23:45

Vergeet de rebranded TP-Link routers zoals de ICIDU NI-707533 V1 aka TL-WR1043ND V1 niet. Daarvan wordt de firmware nooit bijgewerkt en de TP-Link firmware krijg je er niet op...

Whatson 31 oktober 2013 16:56

Overigens als je een alternatieve firmware als OpenWrt of DD-WRT hebt geinstalleerd ben je natuurlijk niet kwetsbaar voor een bug in de stock firmware.

VNA9216 @Whatson • 31 oktober 2013 17:18

Dat is een beetje kort door de bocht.
Het hangt er natuurlijk vanaf hoe die alternatieve firmware ontwikkeld is. Als dat volledig eigen code is, dan valt het idd mee.

Als ze bij V1.0 van de firmware zijn begonnen met modden, continu nieuwe dingen hebben toegevoegd, en nooit de patches van de fabrikant hebben verwerkt, bestaat de kans dat ook je alternatieve firmware nog altijd lek is. De kans is kleiner, maar het is vaak wel de moeite waard dat soort dingen te checken.

[Reactie gewijzigd door VNA9216 op 24 juli 2024 23:13]

TonnyTonny @VNA9216 • 31 oktober 2013 17:40

DD-WRT of OpenWRT zijn geen MODs van de originele firmware.
Eigen ontwikkeling.

Sterker nog, de originele firmware bij een aantal fabrikanten is een mod van DD-WRT of Open-WRT. En vaak ook nog een oude versie die in geen jaren is ge-update.

Twizzlerz 31 oktober 2013 16:14

Het erge dan nog dat het overgrote deel van het 'normale' publiek dit soort nieuws nooit te lezen krijgt. Daarbij ook nooit bij de instellingen/update functie van hun router komt. Moet je maar net een goed neefje hebben die bij jou alles up-to-date houdt. Dus ik vermoed zo dat dit lek nog wel even misbruikt kan worden.

Verwijderd @Twizzlerz • 31 oktober 2013 18:03

Het erge dan nog dat het overgrote deel van het 'normale' publiek dit soort nieuws nooit te lezen krijgt. Daarbij ook nooit bij de instellingen/update functie van hun router komt. Moet je maar net een goed neefje hebben die bij jou alles up-to-date houdt. Dus ik vermoed zo dat dit lek nog wel even misbruikt kan worden.

Dat neefje is dus goud waard, maar dat zien die leken ook al niet, dus dat ventje krijgt een dankwoord en thats it. Ipv dat Nederlanders eens gaan overzien dat kennis van zaken op dit vlak best wel eens beloond mag worden met iets meer dan een aai over de bol blijven ze maar centen oppotten. Maar wel steen en been klagen tegen de computer winkel wanneer het mis gaat met de software.
Eigen verantwoordelijkheid, wat is dat nou weer voor onzin

Twizzlerz @Verwijderd • 31 oktober 2013 18:31

Ik moet zeggen als 'neefje' dat ik op dat punt niet hoef te klagen

chaoscontrol @Twizzlerz • 31 oktober 2013 16:27

Het overgrote publiek gebruikt de router/modem van zijn provider. Ik denk dat deze routers voor minstens 75% gebruikt worden als veredelde switch en access point.

Mijn Ubee van Ziggo krijgt trouwens zelf af en toe automatisch een firmware update, goede zaak vind ik.

[Reactie gewijzigd door chaoscontrol op 24 juli 2024 23:13]

Eloy @Twizzlerz • 31 oktober 2013 17:11

Och. Dit is maar een klein probleempje, als je bedenkt dat van veel Thomson/Speedtouch routers je het password kan genereren, en dat op de meeste routers gewoon nog WPS aan staat! Dan ben je ook in een paar uurtjes binnen!

Hobbit13 31 oktober 2013 16:28

Waarom zit er geen auto-update methode in? Even een banner over alle websites zetten met "er is een update, druk op start, na 2min heb je weer internet"

en wat mij betreft mag m'n router ook wel om 3.00 's nachts even een reboot doen.

Whatson @Hobbit13 • 31 oktober 2013 16:54

Omdat je router zichzelf kan bricken op die manier: als de download corrupt was kun je na het updaten niets meer, zonder dat je weet wat er aan de hand is.

Eloy @Whatson • 31 oktober 2013 17:11

Hmm? Ze kunnen toch gewoon checksums meesturen?

Verwijderd @Eloy • 1 november 2013 01:10

Voor de download, maar als je hem mid-flash van het stroom rost bijvoorbeeld issie gewoon kapot. Afgezien van de vraag hoe wenselijk een router is die zichzelf op enig moment offline gooit is dat gewoon link. Vooral ook gezien dat ding uit en aanzetten het eerste is wat veel mensen doen bij geen internet.

Mensen die eigen netwerk hardware neergooien moeten maar gewoon iets van een update regiment er op na gaan houden. Je kan ook gewoon de hardware van je ISP blijven gebruiken als je dat niet wil. Ik check zeker om de maand ofzo Cisco nog updates heeft voor mijn gebakje, net als al het andere dat aan internet hangt.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 23:13]

Bliksem B

@Verwijderd • 1 november 2013 14:54

Wat ik wel goed vind van de nieuwste firmwares van tp-link, althans bij de 1043nd, is dat er een check update inzit waarmee die tevens de update binnen kan halen en direct kan installeren (als ik me niet vergist, gebruik zelf namelijk dd-wrt).

Je kan ook gewoon de hardware van je ISP blijven gebruiken als je dat niet wil.

Deze worden toch ook OTA geïnstalleerd? Maar zover ik weet kun je deze modems niet bricken en kan de provider ten aller tijden de software opnieuw installeren. Zelfs tijdens een updateproces kan ook hier de modem uitgeschakeld worden, maar dit boeit de modem weinig.
Dus mijn hypothese is dat er een boot op zit die bijna nooit wordt verwijderd, hierdoor kan ten aller tijden verbinding worden gemaakt met het modem. Bij het opstarten kan dan gecontroleerd worden of het modem een nieuwe update moet uitvoeren. imho zou dit ook kunnen werken voor de de consumenten routers.

DannyvanRooy 31 oktober 2013 16:08

Leuk, toen ik nog werkte in een computerwinkel raadde ik iedereen deze routertjes aan

Ik heb niks gezegd!! haha. Laatst al de WNDR3700v4 van Netgear, nu deze routers. =/

Ik ben wel blij dat ze dit gevonden hebben. Ben dan wel altijd benieuwd of deze kwetsbaarheid ook daadwerkelijk misbruikt is.

[Reactie gewijzigd door DannyvanRooy op 24 juli 2024 23:13]

ArcticTiger @DannyvanRooy • 31 oktober 2013 16:12

En verder is er niets mis mee, ben zelf al jaren tevreden gebruiker van de TL-WR1043ND V1

Helaas zijn zulke gaten voor bepaalde groepen zeer veel geld waard...

DannyvanRooy @ArcticTiger • 31 oktober 2013 16:19

Nee, dat klopt zeker. Maar zoals hieronder vermeld door @Twizzlerz - bijna alle gebruikers van zo'n router krijgen deze update nooit mee. Dus voor hun blijft deze lek actief. Ik bedoel maar, hoevaak controlleer jij nou of jouw router een nieuwe update heeft? Ik eigenlijk nooit.. en dan ben ik nog een ICTer.

RedRayMann @DannyvanRooy • 1 november 2013 10:01

Juist om dit soort redenen doe ik ongeveer 1x per jaar een algehele update van al mijn hardware. Enkele doen dit zelf (PS3 en WD TV Live) maar mijn TV, Router, NAS, e.d. controleer ik handmatig.

Maar het is perfect werkend apparaatje, ook met het stock firmware. Durf niet over te stappen naar DD-WRT, omdat ik niet precies weet hoe en wat, en of ik mijn NAS dan ook weer zo makkelijk kan instellen (port forwarding en beveiligde toegang van buiten)

likewise @RedRayMann • 1 november 2013 10:50

Dat kan ook met DD-WRT.

junkchaser 31 oktober 2013 16:59

Wat ik mij afvraag is of deze routers ook vatbaar zijn als wireless access point. Of bijvoorbeeld wanneer er meerdere TP-link routers op een niet-TP-Link hoofdrouter hangen (van bvb een internet provider) die de dns bevat, is deze dns dan ook te manipuleren?

eliemgames @junkchaser • 31 oktober 2013 17:47

Dit vraag ik me ook af. Ik gebruik namelijk mijn WR1043ND ook als wireless access point.

@Whatson
Natuurlijk ga ik gewoon updaten. Maar ik wil nog steeds weten of je kwetsbaar bent als je de router als wireless acces point gebruikt.

[Reactie gewijzigd door eliemgames op 24 juli 2024 23:13]

Patrick_st @eliemgames • 31 oktober 2013 19:59

Dat ligt er maar net aan hoe je hem aangesloten hebt.
Als je de WAN poort gebruikt om hem aan te sluiten op je hoofd router, dan zal je de DHCP server van de TP-Link gebuiken. In dat geval ben je kwetsbaar.

Heb je op de TP-Link de DHCP server uitgeschakeld en maak je de verbinding naar je hoofdrouter via een van de switch poorten op de TP-Link (dus geen kabel in de WAN aansluiting) dan krijg je de IP en DNS instellingen van de hoofdrouter en ben je niet kwetsbaar.

eliemgames @Patrick_st • 1 november 2013 00:44

Bedankt voor de uitleg. Ik heb het via manier 2 aangesloten (DHCP uit, LAN poort naar modem), dus ik was niet kwetsbaar. Ik heb ondertussen al mijn router geupdate, dat verliep soepel.

Whatson @junkchaser • 31 oktober 2013 17:15

Waarom zou je de gok wagen? Gewoon even updaten, is niks moeilijks aan.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (56)

Sorteer op:

Weergave: