Computerfabrikant Asus heeft stilletjes een update voor de RT-routers uitgerold waardoor het niet meer mogelijk is om aangepaste firmware op de apparaten te installeren. Een beveiligingsonderzoeker had ontdekt dat de wifi-routers via HTTP naar nieuwe firmware-updates zoeken. Daarnaast accepteerden ze gemanipuleerde firmware-updates. Op deze manier zou een aanvaller via een Man-in-the-Middle kwetsbare routers kunnen aanvallen.

Beveiligingsonderzoeker David Longenecker ontdekte de kwetsbaarheid. Hij merkt op dat de routers wel de bestandsintegriteit controleerden, maar dat hij een oude firmware-versie met lekken kon hernoemen naar een nieuwe versie, die vervolgens werd geïnstalleerd. Asus heeft inmiddels in firmware 3.0.0.4.376.1123 het probleem deels verholpen.

Checksum

De nieuwe firmware bevat namelijk een gesigneerde checksum die wordt gecontroleerd met de publieke sleutel op de router. Zonder de privésleutel die Asus bezit kan een aanvaller geen checksum maken die de router zal accepteren. Longenecker merkt op dat de updatecontrole nog steeds via HTTP plaatsvindt. Daardoor kan een aanvaller voordoen alsof er een nieuwe firmware beschikbaar is of voorkomen dat de router nieuwe firmware ziet, maar het is niet meer mogelijk om gemanipuleerde firmware te installeren.

De onderzoeker adviseert dan ook om de update zo snel als mogelijk te installeren. Daarbij raadt Longenecker aan om de update direct via asus.com te downloaden en de updatefeature van de router niet te vertrouwen. Het probleem is daarbij niet helemaal opgelost, omdat de supportwebsite van Asus ook geen HTTPS gebruikt.