Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 53 reacties

Meerdere routers van Linksys zijn het slachtoffer van een worm. De worm verspreidt zich waarschijnlijk via een gat in de routersoftware. Het is nog onduidelijk welk doel de malware precies voor ogen heeft.

Linksys logo (27 pix)Onderzoeker Johannes Ullrich van het Internet Storm Center onderzocht de worm, waarvan het bestaan woensdag aan het licht kwam toen een Amerikaanse internetprovider merkte dat routers van klanten waren gehackt. De kwaadaardige software richt zich onder meer op de E2500, E1000 en de E1200.

De E1200 zou met de laatste firmware niet meer kwetsbaar moeten zijn, maar de E1000 is dat wel. Het is onduidelijk of de E2500 met de nieuwste firmware vatbaar is. Een Poolse beveiligingsonderzoeker schrijft op zijn site dat ook andere modellen, waaronder de E1500 en de E4200, door de worm kunnen worden geïnfecteerd.

Wat de malware precies doet is onduidelijk, behalve dat hij zich automatisch verspreid naar andere Linksys-routers. Dat ontdekte Ullrich toen hij een honeypot installeerde: een apparaat met kwetsbare software die is bedoeld om aanvallers aan te trekken. De honeypot van Ullrich werd daadwerkelijk geïnfecteerd, waarna hij de malware kon onderscheppen en ontleden.

Eenmaal geïnstalleerd zoekt de worm binnen bepaalde netblocks naar kwetsbare routers, zo ontdekte Ullrich. De scans richten zich op de poorten 80 en 8080, waarna naar kwetsbare routers een post-request wordt gestuurd die de aanvaller zijn eigen code laat uitvoeren. Het is onduidelijk hoe dat lukt; volgens de Amerikaanse provider die de worm ontdekte, komt dat niet door het gebruik van zwakke wachtwoorden.

Na infectie wordt een tweede bestand gedownload, dat waarschijnlijk aanvullende code bevat. Daarnaast lijkt de worm verbinding te maken met een command-and-control-server: de tweede binary bevat namelijk een aantal hostnames.

Moderatie-faq Wijzig weergave

Reacties (53)

Is het bekend hoe je de boel hier tegen kan beveiligen behalve de DD-WRT firmware?
Is het Řberhaupt bekend dat de DD-WRT firmware veilig is?
Remote management (vanaf het internet dus) UITZETTEN.

De troep komt binnen door een fout cgi-script in de Linksys web-server.
Dit script controleert niet of diegene die het aanroept wel ingelogged is en het accepteerd dan ook nog eens parameters die misbruikt kunnen worden om de Linksys een eigen binary van de hackers te laten downloaden en uitvoeren.
Dubbel faal dus.

Maar als de web-server vanaf het internet niet te bereiken is lukt het dus niet om binnen te komen.
BTW remote management staat volgens mij standaard uit, dus opa & oma lijken mij beschermt. Of vergis ik mij?
Onder andere om deze reden heb ik ook een Raspberry PI aan de router hangen, als je dan toch remote access nodig hebt voor je router dan kan dat daarmee maar dan wel via SSH of een VPN op een niet standaard poort. Niet dat dat laatste wat helpt maar het schijnt de casual scanners al te weren.
Ik ben niet de enige dus :-)
Best wel ironisch dat bij een bericht over de onveiligheid van routers dezelfde routers in de ads wordt aangeprezen.
Er wordt altijd gelinkt naar het desbetreffende onderwerp, ik vind het wel handig al wil ik het product in details bekijken, ik zie niet direct hoe dit ironisch is.
Jij ziet geen ironie in dat een product wordt aangeprezen pal naast een nieuwsbericht die dat product als onveilig aankaart?
:|
Ik zie het nergens aangeprezen worden?
Dan weet je dus niet waar ik het over heb...
Toch was een kopje Alternatieven niet verkeerd geweest bij dit onderwerp :Y)
Of linkjes naar DD-WRT en Tomato om mensen te informeren hierover.

[Reactie gewijzigd door triflip op 13 februari 2014 20:15]

Ik heb ff gecheckt op firmware maar mijn E4200 heeft nog steeds de meest recente firmware (van ergens halverwege 2013) voor in mijn geval hardware revisie V1. Daar valt dus geen winst te behalen.
Ik gebruik geen remote management en mijn wachtwoord is de factory default (uiteraard).
Volgens de poolse onderzoeker zou je NIET kwetsbaar moeten zijn als je remote management (extern beheer) hebt uitgeschakeld EN een ander wachtwoord hebt ingesteld ipv het standaard wachtwoord.
Password heeft er niks mee te maken.

De troep komt binnen door een fout cgi-script in de Linksys web-server.
Dit script controleert niet of diegene die het aanroept wel ingelogged is en het accepteerd dan ook nog eens parameters die misbruikt kunnen worden om de Linksys een eigen binary van de hackers te laten downloaden en uitvoeren.
Dubbel faal dus.

Maar als de web-server vanaf het internet niet te bereiken is lukt het dus niet om binnen te komen.
Dus als remote management uitstaat ben je "veilig"?
Is het EN-EN of OF-OF.

Immers geen remote management, lijtkt mij niet benaderbaar?

Overigens als het gaat om mensen die remote management aan hebbens taan, en een default password gebriuken, is dat natuurlijk ook vragen om moeilijkheden ook zonder wormen...

Edit: is dus remote management, en password maakt niet uit.

[Reactie gewijzigd door Armin op 14 februari 2014 01:36]

Kan iemand ook even zeggen wat het standaard wachtwoord is? Ik heb ook de E4200 en heb wel een wachtwoord dat gegenereerd is tijdens het installeren van de router. Ik gok dat dit random was, maar het kan geen kwaad om dit ff te checken lijkt me.
Ik heb er tevergeefs naar gezocht omdat ik tijdens installatie van m'n EA6400 de setup wizard oversloeg (want die is natuurlijk voor babies) waarna de router doodleuk om een password vroeg voordat 'ie handmatig te configureren viel. Gevalletje even zuchten en een factory-reset.
Ik heb die van mij achter de KPN-router staan, ben ik dan ook vatbaar?
Ja je bent vatbaar, je hebt immer zo'n router met een lek. Maar wel in veel mindere mate, ze moeten eerst door je KPN router heen maar als ze dat lukt kunnen is je Linksys router dus verder geen probleem meer ;)

Extra beveiligen is dus niet perse nodig, je hebt al een extra factor ertussen staan. Maar een andere firmware flashen zoals DDWRT of Tomato kan zeker geen kwaad je router word e zelfs beter van en je beveiliging ook. Moeilijk is het ook niet, veel tutorials op internet, belangrijkste is de juiste versie van de software te downloaden die compitible is met jouw router (vaak zijn er een paar types van het zelfde model met een klein verschil in hardware maar weet niet of dat bij deze modellen ook zo is).
Ik ben benieuwd of die extra router ook maar enig nut heeft als de routers lekker aan het communiceren zijn via de software van Linksys, het online beheer systeem...
Het lijkt mij dat de verbinding dan eerst onderschept zou moeten worden ˇf dat de servers van Linksys gekraakt zouden moeten worden, voordat ze hiervan gebruik zouden kunnen maken.
Ik zal eerlijk zeggen... Dat laatste zou me niets verbazen.
Sinds Belkin de toko heeft overgenomen is het echt heeeeeel erg hard bergafwaarts gegaan.

Cisco had super personeel, nu met Belkin zitten er idioten achter de helpdesk die geen flauw idee hebben wat er de routers kunnen of ook maar weten wat een pakketje is. De firmware updates die vanuit Belkin komen ipv Cisco geven wel eens problemen, zo werkt niet altijd alles goed meer, et cetera.

Ik ben dan ook zeer benieuwd wanneer dit probleem precies is ontstaan, het zou me weinig verbazen als dit in Belkin firmware zit.
Niet dat Cisco nooit fouten maakt trouwens hoor, maar gezien het zo snel bergafwaarts is gegaan zou het me niets verbazen.
Als die van KPN je 80 en 8080 poorten dicht heeft zitten niet lijkt me. Verder kan je Linksys wel ge´nfecteerd worden aangezien niet bekend is hoe dit gebeurt. Voor de zekerheid altijd goed in de gaten houden natuurlijk.
Dat ligt eraan. Als het een zg drive-by infectie is, dan open je een pagina met de infectie in je browser, en vanuit je browser wordt je router geinfecteerd. Dat gebeurt dan vanuit een lokaal adres, dus voor de router lijkt het veilig en is de admin bereikbaar. Als de infectie de DNS-instellingen van de router wijzigt, dan wordt iedereen op het netwerk die de router als DNS-server gebruikt, naar een besmette DNS-server gebruikt. Als echter de KPN-router gebruikt wordt voor DNS, dan is er niks aan de hand. Idem als je OpenDNS gebruikt of bv 8.8.8.8 (Google).
Ik ben blij dat ik na de vorige nieuwsberichten over problemen met Linksys routers een open-source custom firmware heb ge´nstalleerd op mijn Cisco Linksys E4200. Ik kan Tweakers DD-WRT zeker aanraden. Maar lees wel even de instructies voordat je er aan waagt.
Ik ook blij met mijn opensource tomato build op mijn E3000.
Ddwrt kan ik ook aanraden!
Niet alle fabrikanten reageren zo snel als AVM idd....
Het installeren van DD-Wrt of Tomato werkt niet op v2 van de E4200 aangezien de chipset op dit moment nog niet wordt ondersteund door de opensource community.

Ik had eigenlijk nog wel een reactie verwacht van Linksys, dat zou van toegevoegde waarde zijn in het bericht.
De e2000 dus niet?

Moeders heeft mijn oude e2000. Volgens mij had ik daar ook de DD-WRT firmware op ge´nstalleerd. Morgen meteen maar even langs en dubbel checken.

[Reactie gewijzigd door Mit-46 op 13 februari 2014 20:01]

Moeders heeft mijn oude e2000. Volgens mij had ik daar ook de DD-WRT firmware op ge´nstalleerd. Morgen meteen maar even langs en dubbel checken.
Als er inderdaad DD-WRT op staat, dan is de kans klein dat deze kwetsbaarheid er invloed op heeft.

Uit het artikel:
Eenmaal ge´nstalleerd zoekt de worm binnen bepaalde netblocks naar kwetsbare routers, zo ontdekte Ullrich. De scans richten zich op de poorten 80 en 8080, waarna naar kwetsbare routers een post-request wordt gestuurd die de aanvaller zijn eigen code laat uitvoeren. Het is onduidelijk hoe dat lukt; volgens de Amerikaanse provider die de worm ontdekte, komt dat niet door het gebruik van zwakke wachtwoorden.
Het is waarschijnlijk een kwetsbaarheid in een script of (een component van) de webserver. Dit komt wel vaker voor. Zoals gewoonlijk is het niet verstandig om embedded apparatuur die vaak niet van de laatste security updates wordt voorzien direct aan het Internet bloot te stellen.

Dit lost overigens het probleem niet op. Een kwetsbare PC op een intern netwerk kan natuurlijk wel de netwerkomgeving scannen op kwetsbaarheden.
Oke
Ik ging morgen al bij moeders eten. Heb ik meteen wat te doen. :)

Dank!
Ik mis even wat nu precies de uitwerking van deze malware op de gebruiker is? Gebruiken ze het als springplank naar het interne netwerk en diens systemen? Of proberen ze een botnet van routers te bouwen? Me dunkt dat je dan wel flink wat routers nodig hebt voor je iets zinnigs kan doen..

en hoe controleer ik of de mijne getroffen is?
Ligt aan wat je doel is hŔ. Als je communicatie wil onderscheppen om zo bijvoorbeeld inloggegevens buit te maken, dan kun je met zo'n botnet van routers de NSA gaan beconcurreren.
Linksys
Fritzbox
Asus
Netgear
Motorola
Moet ik nog even doorgaan met het lijstje consumentenproducten waar nauwelijks aandacht voor beveiliging is? Al een jaar of....zolang het internet bestaat en die producten als warme broodjes over de toonbank gaan.
Dan moet je die tweede ff van je lijstje schrappen, want AVM heeft wel heel snel het lek gedicht. In tegenstelling tot de rest.
Heeft iemand een idee of men met de E4200 zowel de v1 als v2 bedoelt of enkel de v1?
Die Poolse onderzoeker schrijft helemaal niet dat ook de E1500 en de E4200 kunnen worden ge´nfecteerd. Hij heeft alleen een lijstje gevonden waar die typenummers op staan.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True