Onderzoeker ontdekt backdoor in Linksys- en Netgear-routers

De Franse reverse engineering-enthousiasteling Eloi Vanderbeken heeft beveiligingsproblemen ontdekt in diverse routers van Linksys en Netgear. Via een shell kan de configuratie van de firmware worden uitgelezen en het adminpanel worden geopend.

Vanderbeken ontdekte de beveiligingsproblemen aanvankelijk op de Linksys WAG200G, maar ook de Netgear DM111Pv2 en Linksys WAG320N zijn kwetsbaar. Daarnaast zijn er nog een aantal routermodellen van Netgear en Linksys waarvan waarschijnlijk is dat de firmware ook deze kwetsbaarheid heeft, maar een bevestiging moet nog komen.

Volgens Vanderbeken draait er op de betreffende routers een ongedocumenteerde service. Door deze met de juiste commando's op ip-poort 32764 aan te spreken kan de configuratie worden uitgelezen. Ook kan het adminpanel met een eenvoudig script worden geopend.

Omdat enkele routermodellen relatief oud zijn, is het de vraag of de fabrikanten nog firmware-updates zullen uitbrengen. Wel is het vaak mogelijk om alternatieve firmware, zoals OpenWRT of Tomato, op de routers te installeren waarna de kwetsbaarheid vermoedelijk niet meer aanwezig is.

Reacties (56)

menonv 2 januari 2014 13:31

De Github van Eloi Vanderbeken geeft ook inhoudelijk wat meer informatie.
Hierbij beschrijft hij ook andere modellen die wellicht ook deze backdoor bevatten.
Alhier ;

https://github.com/elvanderb/TCP-32764

Auredium 2 januari 2014 13:43

In principe zorgt dit in combinatie van de NSA ervoor dat we eigenlijk beter gewoon alles open source kunnen hebben. Dat garandeerd niet dat er geen backdoors in zitten maar zijn ze wle makkelijker op te sporen. Veel providers leveren Cisco bijvoorbeeld als router mee, zijn nu allemaal die routers vatbaar; het antwoord is waarschijnlijk wel.

Anoniem: 145867 @Auredium • 2 januari 2014 13:46

Opensource + Encryptie idd. Daar ben ik helemaal voor. Vroeger hadden we dictatoren. Tegenwoordig krijgen we andere vorm van gevaarlijke regimes. Deze moeten we ook stoppen.

r2504 @Auredium • 3 januari 2014 13:31

En wie zegt dat die open source versie ook effectief op jou router geinstalleerd staat... of compileer jij je firmware zelf (hopelijk zit er dan ook niets in je compiler, die misschien op zich ook weer open source is).

Het is dus een beetje kort door de bocht te zeggen dat open source veiliger is.

Anoniem: 16328 @Auredium • 2 januari 2014 13:56

Waarom is open source beter dan? Omdat beveiligingsproblemen kunnen worden gevonden en omdat mensen er naar kunnen kijken. Met de nadruk op kunnen want als dit laatste echter niet gebeurt schiet je er nog niets mee op. Zoals dit artikel ook laat zien: nieuws: Onderzoeker vindt 200 beveiligingsproblemen in X.org Zonder dat het hier gaat om open source firmware zijn er toch beveiligingslekken gevonden.

Rataplan_ @Anoniem: 16328 • 2 januari 2014 14:07

Maar die zullen niet op verzoek van NSA erin gezet zijn. Er kan natuurlijk best een NSA (of andere instantie) medewerker code submitten aan een open-source project, maar dat wordt toch wel gereviewed voor het daadwerkelijk gecommit wordt. Daarmee is opensource niet bug-free maar denk ik wel wat beter bestand tegen dit soort lekken. Een bedrijf draait om geld, en als ze bv 10 miljoen krijgen voor een lekje gaat 'de top' al gauw om (al dan niet onder druk). Een community draait helemaal niet om geld, maar om een product wat voor die community zo goed mogelijk moet werken. Compleet andere en mijns inziens betere insteek.

robvanwijk

Netwerk en systeembeheer

@Rataplan_ • 2 januari 2014 15:34

Een community draait helemaal niet om geld, maar om een product wat voor die community zo goed mogelijk moet werken.

Een community draait op vertrouwen. Het is helemaal niet zo moeilijk (zeker niet als je bereid bent er flink wat tijd in te stoppen) om iemand een boel nuttige submits te laten doen. De eerste paar zullen waarschijnlijk wel goed nageplozen worden, maar dat wordt op den duur vanzelf minder. Zodra hij eenmaal goed bekend staat binnen het project worden zijn submits veel minder nauwkeurig gecontroleerd. Op dat moment kun je een backdoor (vermomd als een onbedoelde, lastig te vinden bug, in een stuk nieuwe functionaliteit) insturen met een goede kans dat die vrolijk geaccepteerd wordt.

Anoniem: 366402 @Anoniem: 16328 • 2 januari 2014 14:17

Het verschil is dat je in open source de issues al in de broncode kunt zien, (zoals die gast bij X heeft gedaan, zijn bevindingen komen uit de code) die beveiligingsproblemen in X hebben ook veel te maken met overflows e.d.
De broncode kun je ook hangen aan diverse profilers en frameworks voor het opsporen van geheugenlekken e.d.

Met de routers gaat het om een bewust ingebouwde service. Tuurlijk kun je die buiten de code om vinden, daar heeft de aard van de code niets mee te maken.

mifa @Anoniem: 16328 • 2 januari 2014 14:38

De fouten in X.org zijn gevonden. De 'fouten' in de router firmware zijn ook gevonden.
Welke fouten zullen met de minste moeite gevonden zijn en welke zullen er niet express in gezet zijn?

arjankoole @Auredium • 2 januari 2014 14:08

In principe zorgt dit in combinatie van de NSA ervoor dat we eigenlijk beter gewoon alles open source kunnen hebben.

Zoals SELinux? Het wel bekende opensource component in linux wat door de NSA zelf geschreven is? (en daar was al eens een root exploit mee te doen)

RoestVrijStaal @arjankoole • 2 januari 2014 15:14

Dan gebruik je toch gewoon AppArmor?

Anoniem: 544423 2 januari 2014 13:29

Ben ik even blij met me Asus RT-AC66 Router

Anoniem: 539986 @Anoniem: 544423 • 2 januari 2014 13:32

Ben ik even blij met me Asus RT-AC66 Router

Want je denkt dat die "veilig" is?

http://securityevaluators...rs/soho_service_hacks.php
2.The ACSD service is vulnerable to multiple buffer overflow attacks during the command processing routine (CVE-2013-4659). An attacker can connect to the ACSD service and submit a command string that is larger than the program's fixed length buffer, corrupt the call stack, and change the execution flow of the program by overwriting adjacent memory. The result is the execution of attacker-controlled code.
For the attack to succeed we utilize return oriented programming (ROP) to avoid stack randomization and MIPS system cache incoherency. In order to create a coherent data cache, our payload utilizes a call to a blocking function, sleep(), which effectively pauses program execution and gives CPU cycles to other executing system processes. When the sleep() function returns, the MIPS CPU flushes the data cache and continues program execution. Finally, we direct the programs execution to our custom shellcode that starts an unauthenticated Telnet server by calling the system() function located in the standard C library.

[Reactie gewijzigd door Anoniem: 539986 op 24 juli 2024 01:55]

SED @Anoniem: 539986 • 2 januari 2014 13:44

De door je genoemde gaten zijn inmiddels door asus gepatched in recente firmwares!
Daarnaast heb je als alternatief zowel DD-wrt als de op de asus gebaseerde Merlin firmwares.

wica @SED • 2 januari 2014 13:55

En hoeveel % van de consumenten die zo'n router heeft, update hem, laat staan zet er DD-wrt op? Juist, daar heb je het probleem.

SED @wica • 2 januari 2014 14:02

de Asus router geeft zelf een melding dat er een update is. Of men hem dan ook patched is inderdaad de vraag. Als er DD-wrt is dan heb je in ieder geval de optie om een andere firmware te kiezen. Helaas is er een generatie routers die nooit meer geschikt te maken is voor bijv dd-wrt. Ikzelf had een fijne dlink waar nooit een passende dd-wrt voor gekomen is. Reden vooral de binairy blob van braodcom waar men geen code van wil vrijgeven. Dat is dus wat mij betref took een verdacht component.
Zit in zeer veel routers!

scsirob @SED • 3 januari 2014 07:37

Het grootste deel van de niet-technische gebruikers kijkt nooit naar zijn router, logt er niet op in. Alleen als 'het internet het niet doet' dan bellen ze de helpdesk en zetten hem dus 10 minuten uit en daarna weer aan. Meer interactie hebben de meeste gebruikers niet.

wica @SED • 2 januari 2014 16:02

Ik ben van mening dat wets maker de consument moet voorzien van een wet, waardoor fabrikanten verplicht worden actief te zoeken naar verrotte hardware. En zeker in gevallen als deze.

Uhhm, ja de backdoor is bekent... Dat hadden ze 10 jaar geleden nog niet kunnen bedenken? Fabrikanten kunnen te gemakkelijk dit soort problemen van zich afschruiven.

Ik koop een stuk hardware en dan mag ik verwachten dat ze hun best hebben gedaan met de beveiliging en dat ze er geen backdoor inbouwen.

Ik denk dat je bij een Nederlandse rechter nog wel eens je gelijk kan halen, dit omdat je er vanuit mag gaan dat de fabrikant niet met opzet er een backdoor inbouwd.

Anoniem: 445817 @wica • 2 januari 2014 18:50

In zo'n wet zouden dan natuurlijk ook beperkingen opgenomen worden. Ik denk niet dat de wetgever meer dan 2 jaar security updates gaat opleggen voor een router van een paar tientjes.

wica @Anoniem: 445817 • 2 januari 2014 20:37

Wel als er aangetoont kan worden dat de lek is onstaan door nalatigheid van de fabrikant.

Rataplan_ @SED • 2 januari 2014 14:03

En ook daarin zitten bugs. Die zullen wel wat eerder gedicht worden gezien de community die erachter zit (al is dat bij DD-wrt een beetje discutabel) maar geen enkele firmware zal 100% bug of lekvrij zijn.Ik voel me bij community driven open-source firmwares wel veiliger dan stock firmwares (voor zover ik ergens bang voor zou moeten zijn). Een community zal niet bewust lekken inbouwen tegen betaling, iets waar een aantal zelfs grote parijen momenteel toch op zn minst van verdacht worden.

SED @Rataplan_ • 2 januari 2014 16:07

Asus firmware IS open source.
http://support.asus.com/d...&p=11&s=2&m=RT-AC66U&os=8

Vandaar ook dat er zoveel alternatieven zijn. ( Tomato, DD-wrt, Merlin)

Het probleem blijft echter de closed source drivers waar de zaak op leunt.
Daarnaast is altijd de vraag of een backdoor in open source ook echt gevonden zal worden.

MrMonkE @SED • 2 januari 2014 16:18

Ik heb DD-WRT maar ik zou er niet mijn hand in het vuur steken dat die geen exploits of backdoors heeft. Het is onmogelijk daar garantie over te geven. Net zo iets als bewijzen dat God bestaat.

jj71 @Anoniem: 544423 • 2 januari 2014 13:32

Leuk dat je er blij mee bent. Ik heb een RT-AC68 en die doet het ook heel goed.

Maar omdat je niet één van de twee routers hebt die Eloi Vanderbeken heeft onderzocht, betekent het natuurlijk niet dat er in jouw router geen beveiligingsproblemen zitten.

Yankovic @Anoniem: 544423 • 2 januari 2014 13:33

Want jij weet zeker dat Asus geen backdoors in hun routers heeft zitten?

notsonewbie @Anoniem: 544423 • 2 januari 2014 14:10

Uit die series:
ASUS RT-AC66U

For the ASUS RT-AC66U, we demonstrate how insufficient bounds checking and the inability to disable network services allowed us to execute arbitrary code with the same permissions as the vulnerable application.

From its hardened state, with or without USB storage attached, the RT-AC66U runs an ACSD system configuration service on port TCP/5916
1.The ACSD service runs by default, and cannot be disabled (no CVE cataloged).
2.The ACSD service is vulnerable to multiple buffer overflow attacks during the command processing routine (CVE-2013-4659). An attacker can connect to the ACSD service and submit a command string that is larger than the program's fixed length buffer, corrupt the call stack, and change the execution flow of the program by overwriting adjacent memory. The result is the execution of attacker-controlled code.

For the attack to succeed we utilize return oriented programming (ROP) to avoid stack randomization and MIPS system cache incoherency. In order to create a coherent data cache, our payload utilizes a call to a blocking function, sleep(), which effectively pauses program execution and gives CPU cycles to other executing system processes. When the sleep() function returns, the MIPS CPU flushes the data cache and continues program execution. Finally, we direct the programs execution to our custom shellcode that starts an unauthenticated Telnet server by calling the system() function located in the standard C library.

A full script for launching this attack against an ASUS AC66U can be found here.

loreedijk @Anoniem: 544423 • 2 januari 2014 15:30

Jammer joh, die is ook niet hack vrij

http://infosec42.blogspot...rt-ac66u-remote-root.html

WhiteDog @Anoniem: 544423 • 2 januari 2014 21:09

Aan iedereen hierboven: exploit != backdoor

Het gaat er om dat de Asus firmware open is en dus in theorie geen backdoors gaat bevatten. Bugs zullen er altijd zijn.

Anoniem: 219840 2 januari 2014 13:28

Zou de handleiding van deze 'ongedocumenteerde service' bij de NSA opvraagbaar zijn?
Of ergens in China ?!

Nog even wat meer conspiracy-denken omdat het kan !
Wellicht praten we hier over inderdaad een surveillance dienst/netwerk.
Poort 32764: dit nummer is 0x7FFC hex wat zou kunnen duiden op het Unicode character 翼, wat vrij vertaald in engels 'Wing' maar ook wel 'Edge' betekent.

[Reactie gewijzigd door Anoniem: 219840 op 24 juli 2024 01:55]

bbob

Netwerk en systeembeheer

@Anoniem: 219840 • 2 januari 2014 13:49

Volgens mij stond in veel artikelen al dat de NSA zelf gebruik maakt van kwetsbaarheden die door anderen nog niet ontdekt zijn, c.q. zelf kwetsbaarheden koopt.

Het zou dus best kunnen dat deze kwetsbaarheid ook op hun lijstje staat en in het verleden al misbruikt is.

bogy @bbob • 2 januari 2014 14:49

er wordt vaak gesproken van dd-wrt en tomato ...

maar daar heb je NIETS aan wanneer je een WAG-320N gebruikt ... want de Adsl2+ modem is totaal onbruikbaar met dd-wrt / tomato ...

ik had namelijk een wag160N en wilde het ook eens bekijken om er ddwrt op te zetten tot ik begon door te lezen dat de adsl niet meer werkt... je moet dan al eigenlijk een tweede modem/router gaan bijkopen, die in bridging modus zetten en dan je tomato of dd-wrt bak laten inloggen op de modem

helaas gaat dat ook maar alleen als je gebruik maakt van pppoe/pppoa connecties ... Er zijn dus wel een aantal tekortkomingen; je kan niet zomaar 'overschakelen' ....
dat gaat enkel maar als je via Ethernet je internet binnentrekt; bijvoorbeeld met een kabelmodem...

Anoniem: 120693 2 januari 2014 13:32

En heeft Tweakers Netgear en Linksys al om commentaar gevraagd? Ik ben daar namelijk razend nieuwsgierig naar...

Whatts @Anoniem: 120693 • 2 januari 2014 13:43

Ben ik ook nieuwsgierig naar, maar als dit in opdracht van de you-know-who uit het "land of the free" was, kunnen ze al een zware veroordeling krijgen door er iets over te communiceren.

Anoniem: 120693 @Whatts • 2 januari 2014 14:48

Maar Apple bijvoorbeeld zegt duidelijk dat ze nooit iets gedaan hebben voor de NSA waar andere firma's niets zeggen. Op zich is dat al belangwekkende informatie want als later uitkomt dat je gelogen hebt is de schade veel groter. Ik zou dus graag willen weten wat Linksys en Netgear zeggen.

Het kan best zijn dat het een fout is, of een service option.....We hoeven niet meteen de NSA achter elk nieuwsbericht te zien. Zeker niet aangezien dit routers uit 2007 zijn.

[Reactie gewijzigd door Anoniem: 120693 op 24 juli 2024 01:55]

robvanwijk

Netwerk en systeembeheer

@Anoniem: 120693 • 2 januari 2014 15:26

Maar Apple bijvoorbeeld zegt duidelijk dat ze nooit iets gedaan hebben voor de NSA waar andere firma's niets zeggen. Op zich is dat al belangwekkende informatie

Voor hetzelfde geld heeft Apple wel degelijk allerlei rottigheid uitgehaald in opdracht van de overheid en ontkennen ze dat omdat ze wel moeten? Als ze kunnen verbieden om er iets over te zeggen, dan is een bevel om het (ten onrechte) keihard te ontkennen niet zo heel ver gezocht, toch...?

SED @Anoniem: 120693 • 2 januari 2014 16:09

andere firmas, zoals Google en Microsoft hebben al veel eerder ontkent iets voor de NSA te doen!

_Pussycat_ @Anoniem: 120693 • 6 januari 2014 23:58

Apple kan ook gedwongen zijn om hierover te liegen. Amerikaanse bedrijven zijn op moment per definitie niet te vertrouwen over deze zaken.

Vipertje @Anoniem: 120693 • 2 januari 2014 13:41

Sowieso moet Tweakers wat vaker bedrijven om commentaar vragen voordat een nieuwsbericht geplaatst wordt. Wel zo fijn om meerdere kanten van een verhaal te hebben.

RoestVrijStaal @Anoniem: 120693 • 2 januari 2014 15:11

Doorgaans zijn de woordvoerders / PR-managers van bedrijven er heel discreet over, proberen ze het te verbloemen of zelfs te ontkennen (wat doorgaans gebeurd). ALS ze al commentaar willen geven.
Spijtig is wederhoor vragen bij de getroffen bedrijven verspilling van moeite en tijd.

marc64 2 januari 2014 13:39

Het gaat wel om erg oude routers, die netgear en linksys zijn uit 2008, ben eerder nieuwsgierig naar nieuwere routers.
Hoe zit het met alle topmodellen van dezelfde merken maar ook asus.
Is het uberhaubt mogelijk om een absoluut dicht en veilig systeem te hebben?

[Reactie gewijzigd door marc64 op 24 juli 2024 01:55]

TVL 2 januari 2014 14:36

Netgear en Linksys zijn beiden Amerikaanse bedrijven. TP Link is een Chinees bedrijf. Ik denk dat er zeker wel vanuit overheidswege dit soort zaken ingebouwd worden.

Modems en Routers zijn toch wel het schakelpunt van het internet en je achterliggende apparatuur zoal telefoons, PC's, Laptops enzovoort. Kan me wel voorstellen dat de NSA en de Chinese overheid hier een achterdeurtje wil hebben.

Ik heb zelf een Fritzbox (Duits bedrijf), heb eigenlijke nog nooit gehoord van dit bedrijf dat er een beveiligingsprobleem mee was.

[Reactie gewijzigd door TVL op 24 juli 2024 01:55]

nieuwveen 2 januari 2014 14:43

Is het misschien wat om in de pricewatch aan te geven of de fabrikant betrouwbaar is op basis van dit soort informatie?

ASS-Ware 2 januari 2014 15:55

Maar die poort is toch alleen toegankelijk vanaf buiten als je hem open zet?
Standaard staat de firewall aan en staan er geen poorten open.

Extrema 2 januari 2014 17:23

Ach ja..... we weten toch allemaal dat overheden (stemmen we namelijk voor) Fabrikanten standaard de verplichting opleggen om soft of hardware matig een (backdoor) in te bouwen.

Op dit item kan niet meer gereageerd worden.

Onderzoeker ontdekt backdoor in Linksys- en Netgear-routers

Lees meer

Reacties (56)

Sorteer op:

Weergave: