Een Duitse beveiligingsexpert gaat de komende twee weken allerlei beveiligingslekken in routers en andere netwerkapparaten voor consumenten onthullen en D-Link, Linksys en Netgear bijten het spits af. Via de kwetsbaarheden kunnen kwaadwillenden op afstand toegang tot de apparaten krijgen. In het geval van D-Link gaat het om de DIR-300 en DIR-600 routers.
Via de kwetsbaarheden kan een aanvaller zonder al teveel moeite willekeurige opdrachten op de apparaten uitvoeren. Daardoor is het mogelijk om de instellingen te wijzigen en het verkeer via een kwaadaardige server te laten lopen.
Hiervoor is geen wachtwoord of andere authenticatie vereist. Zelfs in het geval een router niet direct via het internet benaderbaar is, is het mogelijk om de router via Cross-Site Request Forgery aan te vallen. Daarbij wordt de aanval tegen de router vanaf de computer van het slachtoffer uitgevoerd.
Het probleem werd op 14 december door onderzoeker Michael Messner ontdekt en aan D-Link gerapporteerd. Een week later reageerde het bedrijf dat het de bevindingen zou verifiëren.
Toen bleef het stil en na meerdere pogingen van Messner stelt D-Link dat het een beveiligingsprobleem met de browser betreft en er geen update komt. Ondanks aanvullende informatie om de kwetsbaarheden beter te onderzoeken bleef het daarna stil, waarop Messner tot Full-disclosure overging.
Linksys
In het geval van Linksys gaat het om de Linksys E1500 en E2500. Via een ontbrekende input validatie kan een aanvaller willekeurige shell-opdrachten injecteren. Zo is het mogelijk om Telnet te starten of een backdoor op een kwetsbare router te installeren. Ook is het mogelijk om het huidige wachtwoord te wijzigen zonder dat het ingestelde wachtwoord bekend hoeft te zijn.
Het lek werd op 21 oktober aan Linksys gerapporteerd, waarna er een lange mailwisseling tussen de beide partijen volgde. Linksys vroeg Messner om verschillende firmware-versies te testen, maar die bleken toch kwetsbaar te zijn. Er is dan ook nog geen oplossing beschikbaar.
Netgear
Netgear-gebruikers moeten zich zorgen maken in het geval van de N150 Wireless ADSL2+ Modem Router DGN1000B. Wederom is het door ontbrekende input validatie mogelijk willekeurige shell-opdrachten uit te voeren of een backdoor te uploaden. Het probleem werd op 15 oktober vorig jaar gemeld. Na negen dagen kreeg de onderzoeker antwoord, maar een week later werd de melding door Netgear gesloten.
Na een moeizame mailwisseling kon Messner uiteindelijk een firmware bètaversie testen. Op 22 januari gaf hij zijn bevindingen door aan Netgear, waarna het stil bleef. Daarom besloot hij vandaag tot openbaarmaking over te gaan. Er is nog altijd geen oplossing voorhanden.
Deze posting is gelocked. Reageren is niet meer mogelijk.