Duizenden D-Link routers kwetsbaar door backdoor
Duizenden routers van netwerkfabrikant D-Link, waarin onlangs een backdoor werd aangetroffen waardoor kwaadwillenden eenvoudig toegang tot het apparaat kunnen krijgen, blijken toegankelijk via het internet te zijn, zo ontdekte beveiligingsonderzoeker Robert Graham van beveiligingsbedrijf Errata Security.
Dit weekend publiceerde een andere onderzoeker genaamd 'Craig' een analyse van een backdoor die hij in de firmware van de D-Link DIR-100 Ethernet Broadband Router aantrof, maar ook in andere modellen aanwezig is. Door het instellen van een speciale string in de user-agent van de browser, is het mogelijk om zonder wachtwoord toegang tot de router te krijgen.
Graham besloot op het internet naar kwetsbare modellen van D-Link te zoeken, om zo achter de omvang van het probleem te komen. Het gaat hier om routers die via het internet toegankelijk zijn en dus risico lopen. Via poort 80 ontdekte hij 2139 kwetsbare routers.
Poort 8080
De onderzoeker stelt dat er waarschijnlijk veel meer routers via poort 8080 te vinden zijn en besloot hier vannacht op te scannen. Het is echter onduidelijk of Graham hiervan de resultaten zal publiceren. "Ik had niet het internet op poort 8080 moeten scannen. Ik ben zeker een maand bezig om alles te analyseren", zo laat hij via Twitter weten. D-Link zegt voor het einde van deze maand met een firmware-update te komen om het lek te dichten.
https://www.security.nl/posting/366647/D-Link+gaat+backdoor+in+routers+dichten
Want zo heb je twee persberichten (of blogposts, is hetzelfde voor het journaille alhier) voor vrijwel dezelfde moeite. Dubbele exposure, en exposure kun je nooit genoeg hebben.
Wat, ondiep effectbejag zeg je? En jij dacht dat het in de kompjoeterbeveiligingsindustrie om de substantie ging?
Het gaat om perceptie, om FUD, om H A C K E R S ! met HOEDJES en optionele ETHIEK! en om daarmee geld binnenharken.
Zodra je serieus naar substantie op zoek gaat, blijkt dat het vooral om nieuwe kleren gaat, maar niet om de inhoud. Ga serieus eens kijken naar hoe wetenschappelijk onderbouwd en hoe methodisch hun "onderzoeksmethoden" wel niet zijn. Het is de naam "onderzoek" niet waardig, laat staan "wetenschappelijk", maar wel de state of the art in kompjoeterbeveiligingsland.
Overigens was dat al iets waar wijlen(!) E.W. Dijkstra zich over verbaasde, in de meer algemene programmaqualiteitszin en niet specifiek in de kompjoeterbeveiliging. Dat de beveiligingstak zomogelijk nog minder dan de rest aan constructief vooruitdenken doet en zich helemaal toespitst op "toneelspel" is daarom niet niet minder een probleem.
Kijk, dat er jaren terug een gigantische achterdeur in sendmail zat, was tot daar aan toe. Sendmail is van helemaal het begin van het internet en dus van vóór de internetexplosie. Dat er nu nog bedrijven zijn die dit soort achterdeurtjes ongestraft denken te kunnen inbouwen, mag tot nadenken bewegen. Een "het zal allemaal wel"-reactie is dus zeer illustratief voor wat er zoal mis is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
