Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties

Linksys maakt een fix voor de software op diverse van zijn routers om te voorkomen dat een worm ze infecteert. De fix moet in de komende weken beschikbaar komen. Volgens de routerfabrikant is het risico van de malware voor consumenten beperkt.

Linksys E2500De fix moet in de 'komende weken' op de site van Linksys staan, zo zegt Linksys-eigenaar Belkin in een statement tegen Tweakers over de deze week ontdekte malware. De worm, die TheMoon heet, maakt gebruik van een lek in de 'Remote Management'-feature van de routers. Het lek zit onder meer in de E2500, E1000, E1200.

Belkin denkt dat de malware weinig consumenten zal treffen. "Consumenten lopen alleen risico als ze 'Remote Management' in de firmware hebben aangevinkt. Dat staat standaard uitgevinkt", aldus een woordvoerder tegen Tweakers. Gebruikers die de functie wel gebruiken, kunnen voorkomen dat de worm ze infecteert door de Remote Management tijdelijk uit te schakelen en te rebooten.

Wat de malware precies doet is onduidelijk, behalve dat hij zich automatisch verspreidt naar andere Linksys-routers. Eenmaal geïnstalleerd zoekt de worm binnen bepaalde netblocks naar kwetsbare routers.  De scans richten zich op de poorten 80 en 8080, waarna naar kwetsbare routers een post-request wordt gestuurd die de aanvaller zijn eigen code laat uitvoeren. Het is onduidelijk hoe dat lukt.

Na infectie wordt een tweede bestand gedownload, dat waarschijnlijk aanvullende code bevat. Daarnaast lijkt de worm verbinding te maken met een command-and-control-server: de tweede binary bevat namelijk een aantal hostnames.

Moderatie-faq Wijzig weergave

Reacties (36)

Vraag me af of dit lek ook in de oudere versies zit zoals de E2000 en de E3000.
Ik heb me er nog niet in verdiept maar geldt dit ook voor deze routers wanneer ze DD-WRT draaien?
Nee het is een fout in de firmware van de routers, zodra je die vervangt door Tomado, OpenWRT of DD-WRT ben je niet meer vatbaar.
Dit is een goede oplossing voor oudere routers die niet meer gesupport worden.

Er is ook een andere exploit die gebruikt wordt en die voorkomt in diverse andere type Linksys, Netgear en LevelOne routers: poort 32764 (een soort debug poort) staat op sommige routers zowel open naar de LAN als naar de WAN kant.
Hierdoor kan de volledige router beheerd worden vanaf het internet (zonder enige vorm van authenticatie)
http://www.ghacks.net/201...ning-backdoor-port-32764/
DD-WRT draait niet op alle routers, daar moet je goed rekening mee houden als je de firmware gaat flashen. Tevens dien je rekening te houden met het desbetreffende versienummer van de router, anders kan je nog wel eens voor een leuke verrassing komen te staan als je de verkeerde firmware in je router flasht. Dan werkt de router in het ergste geval helemaal niet meer of niet goed meer.
Nadeel van DD-WRT is dat deze firmware geen Fast-NAT ondersteunt en dus de download snelheid van snellere internetverbindingen (>100Mbit) omlaag gaat. Bij bijvoorbeeld het abonnement 150/15 van Ziggo wordt deze maximaal 100-110/15. Het lijkt mij dat niet iedereen die zo'n abonnement heeft dit wil inleveren. Stock firmware maakt deze snelheden wel mogelijk (DD-WRT biedt mogelijkheden die veel mensen toch niet zullen gebruiken). Afwachten dus voor welke routers Linksys nieuwe firmware gaat aanbieden.

[Reactie gewijzigd door LarsvdM op 16 februari 2014 23:29]

Toevallig heb ik zo'n abbo en een router die dd-wrt draait. Absoluut geen last van wat jij beschrijft.
Waarschijnlijk heb je een snellere router dan ik die ook zonder Fast-NAT die snelheid kan halen (snellere CPU). In DD-WRT zit QoS features wat niet samengaat met fast-nat.
Heb overigens zelf de E3000. Welke versie van DD-WRT draai je zelf met welke router?
Ik heb een WNDR3700 (v1), draait een van de laatste builds.
Nee volgens mij niet, want dd-wrt is gebasseerd op linux en niet op de orginele software van de router.
Nee volgens mij niet, want dd-wrt is gebasseerd op linux en niet op de orginele software van de router.
Buiten een aantal routers die VxWorks draaien wordt Linux veel gebruikt door Linksys voor hun routers. Kijk hier voor een overzicht van een aantal modellen waar Linux voor wordt gebruikt.

Je hebt overigens wel gelijk. DD-WRT is na al die jaren een op zichzelf staande ontwikkeling geworden en niet gebaseerd op de originele firmware van Linksys. Om terug te komen op de vraag van Frag1le: nee, DD-WRT is niet kwetsbaar hiervoor.

[Reactie gewijzigd door The Zep Man op 16 februari 2014 13:21]

Originele software van de router is ook Linux. :)
99% van de consumenten routers draaien linux of in ieder geval een van de linux kernels. Volgens mij toch.

[Reactie gewijzigd door Kain_niaK op 17 februari 2014 05:57]

"statement". Volgens mij toch.
Volgens mij twijfel je hierbij aan jezelf / je eigen zo juist uitgesproken uiting:
Om het te benadrukken:
"Volgens mij..., toch ??"
Ik vermeld gewoon even dat ik te lui was om het op te zoeken. Maar wees gerust ik ben er 99% zeker van dat de meerderheid van alle routers voor de consumenten markt een linux kernell draaien.
Volgens mij niet. Dit werkt alleen met de remote management methode van Linksys zelf.
Dit heeft helemaal niets met zwakheden te maken in de firmware, maar met mensen die nog steeds niet (willen?) begrijpen dat je sterke wachtwoorden moet gebruiken.
Opgepast met DD-WRT, ik heb het eergisteren op een E3400 gezet, werkte een uurtje prima maar toen ik het kanaal van 6 op 11 zette wegens veel buren op kanaal 6 viel het signaal weg en ook na een hardware reset raak ik zelfs met een kabel niet meer op het toestel :(
Remote management is ongeveer het eerste dat je moet uitzetten, het lijkt me dat voor 90 % van de installaties onderhoud vanaf intern genoeg is.
Zelfde geld met alle apparaten die op het internet zijn aangesloten. Alleen voor buiten open stellen dat echt nodig is, of wat je wilt aanbieden (webserver oid). De rest lekker achter de firewall en binnen je eigen netwerkje houden. Als je dan toch remote iets wil aanpassen, waarom geen vpn? :)

Moet zeggen dat linksys wel snel te werk is gegaan. Niet zo snel als Asus, die heeft in 8 dagen tijd een update uitgebracht: nieuws: Groep plaatst uit protest lijsten met kwetsbare Asus-routers online
meuk: Asus RT-N66U 3.0.0.4.374.4422
Als het dan bij linksys "komende weken" als timeframe word gegeven...
Linksys heeft niet eens het lek zelf ontdekt, maar een Amerikaanse ISP die het opviel dat de routers in zijn netwerk niet meer functioneerden. En die hing het uiteindelijk aan de grote klok... :)

[Reactie gewijzigd door 564101 op 16 februari 2014 15:07]

Ik moet zeggen dat het beangstigend is dat er met grotere regelmaat exploits zijn voor consumenten routers.

Eenmaal geexploit is het ziekelijk makkelijk botnets te draaien, mitm bij bankieren of vertrouwelijke bestanden uit te lezen.

Ik ben ook bang dat we dit veel vaker gaan zien
Ik moet zeggen dat het beangstigend is dat er met grotere regelmaat exploits zijn voor consumenten routers.
Niet echt beangstigend. Het is de realiteit waarmee men om de oren wordt geslagen. Routersoftware is complex en zal fouten bevatten, waarbij het niet uitmaakt of het consumentenprul of professioneel spul is.

Er zullen altijd fouten in zitten. Het beste wat je kan doen is ervoor zorgen dat de fouten niet te misbruiken zijn. Hang nooit een apparaat met embedded software aan het Internet, tenzij je zeker weet dat die software regelmatig security updates krijgt. De beheersinterface van een router ontsluiten op het Internet is vragen om problemen. De HTTP(S) interface van software op je NAS die je keurig voorziet van updates zodra ze uitkomen is een kleiner risico.
Eenmaal geexploit is het ziekelijk makkelijk botnets te draaien, mitm bij bankieren of vertrouwelijke bestanden uit te lezen.
Als een bank HSTS implementeert, dan kan een router weinig met het verkeer doen, anders dan onderbreken. En als je goed met vertrouwelijke bestanden omgaat, komen ze nooit plain text door een router heen.
Ik ben ook bang dat we dit veel vaker gaan zien
'Veel vaker'? We zien dit al vaak genoeg, ook bij andere fabrikanten (voorbeeldje). En ik ben blij dat we het zien en dat het niet stil wordt gehouden. Nu kan er immers wat tegen gedaan worden. ;)

[edit]
En al wil je toch je router beheren via het Internet, gebruik dan een VPN. Remote management (de beheersinterface ontsluiten aan het Internet) is een functie die uit routers moet verdwijnen.

[Reactie gewijzigd door The Zep Man op 16 februari 2014 13:40]

Sja, maar om nu met een aluhoedje op voor de pc te gaan zitten vind ik ook weer net iets te ver gaan.
Dit lijkt wel op het probleem van de fritzbox van AVM.
Idd in dezelfde categorie: een lek in de beheer-interface.
Het is nog maar de vraag hier of het alleen de modellen E1000, E1200 en E2500 zijn die de kwetsbaarheid hebben. Op de site van het International Storm Centre (ISC) werd een hele reeks van Linksys routers genoemd die mogelijk kwetsbaar zijn, en het is zelfs nu nog niet exact te zeggen hoeveel routers precies deze kwetsbaarheid hebben en welke dus niet. Volgens het ISC zouden de volgende Linksys routers kwetsbaar zijn: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000 en E900.

De linksys bezitters moeten daarom de site van de fabrikant in de gaten blijven houden, en als er een firmware-update komt, is het raadzaam om deze update direct te installeren.

[Reactie gewijzigd door 564101 op 16 februari 2014 15:04]

En houd er rekening mee dat ook de routers uit de wrt serie mogelijk de bug hebben, deze hebben alleen geen support meer, als schijnt het mogelijk te zijn de wrt320 om te zetten naar een e2000
Wat ik me meer afvraag is of het probleem echt in remote management zit of dat het ook vanaf het interne netwerk kan worden uitgevoerd?
Omdat toegang vanaf buiten volgens mij niet meer dan een iptables regel is.

[Reactie gewijzigd door DJVG op 16 februari 2014 13:01]

Als het goed is zitten er iets minder hackers op je interne netwerk. Natuurlijk is de router altijd makkelijker van binnen te hacken, maar wat heeft het voor zin als je al binnen bent?
Er zijn genoeg onveilige PC's, op die manier kan je router alsnog geïnfecteerd raken en meespelen in een botnet e.d.
Want ook als je intern erin moet heb je een user + pw nodig, nu zal die bij de meeste mensen de default zijn, wat ook niet slim is, maar als je er zonder info in kan wordt het nog makkelijker, zijn genoeg nieuwsberichten hier geweest over aanpassingen van DNS severs in routers e.d.

En ik gok dat zo'n 9 op de 10 mensen niet hun verkeer bijhouden en dus heeft niemand het in de gaten (dat zal de reden zijn waarom ze überhaupt aanvallen uitvoeren op dergelijke apparatuur) en kan de "hacker" rustig z'n gang gaan en je verkeer in de gaten houden en alles wat je nog meer kunt bedenken.
Vraag me nu af of dan ook niet de EA series van Linkys getoffen zijn, zou me echter niks verbazen, heb sinds de EA6500 alleen maar nare evaringen gehad met de buggie Linksys firmware's.
De optie extern access zit er op en dus moet het goed zijn. Een fix is dus nodig. Maar....welke dodo zet dit nu aan?
Als het er in zit mag je er toch vanuit gaan dat het veilig is, zet het er anders niet in, ook al staat het standaard uit.
Waarom het zo moeilijk is om een veilige remote access in te bouwen is mij een raadsel, zet er dan gewoon SSH met PKI optie in, en laat de externe webserver naar buiten toe weg zou ik zeggen.
Belkin de eigenaar van Linksys? Ik dacht altijd dat het de Cisco Linksys had overgenomen en de naam heeft behouden voor consumentenprodukten...?

Edit: nieuws: Belkin neemt Linksys over van Cisco inderdaad dus. Volgens mij voeren ze nog wel het Cisco logo?

[Reactie gewijzigd door Fairy op 17 februari 2014 14:35]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True