Nieuws

Linksys patcht lekken in routers met smart wifi-firmware

zaterdag 1 november 2014, 07:04 door Redactie, 3 reacties

Linksys heeft updates uitgebracht voor verschillende EA-routers die de smart wifi-firmware draaien. Via kwetsbaarheden in de firmware kan een aanvaller op afstand en zonder inloggegevens gevoelige informatie op de router uitlezen of aanpassen. Daarnaast is er ook een lek verholpen waardoor een aanvaller die zich op het lokale netwerk bevindt zonder inloggegevens het htpassword-bestand van de router kan lezen.

Dit bestand bevat de MD5-hash van het beheerderswachtwoord. Op deze manier zou de aanvaller toegang tot de router kunnen krijgen. Het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit waarschuwt verder dat de routers standaard verschillende poorten aan de WAN-kant blootstellen. Zo zorgen poort 10080 en 52000 dat de beheerdersinterface voor WAN-gebruikers toegankelijk is.

Afhankelijk van het model zijn mogelijk ook andere poorten vanaf het internet bereikbaar. Linksys heeft voor verschillende modellen (EA4200v2, EA4500, EA6200, EA6300, EA6400, EA6500, EA6700 en EA6900) updates uitgebracht. Updates voor de EA2700 en EA3500 zijn nog niet verschenen.

Onderzoek: Nederlandse banken nauwelijks doelwit malware

Defensie werkt aan tool om IT-experts als reservist te werven

Reacties (3)

01-11-2014, 18:53 door Sijmen Ruwhof

[..] Daarnaast is er ook een lek verholpen waardoor een aanvaller die zich op het lokale netwerk bevindt zonder inloggegevens het htpassword-bestand van de router kan lezen. [..]

Dat lek heb ik op 24 oktober vorig jaar via responsible disclosure aan Linksys gemeld. Goed om te horen dat ze het eindelijk gepatcht hebben. Heb een artikel geschreven op mijn weblog voor de mensen die meer willen weten over dit lek en hoe Linksys dit heeft opgepakt:

http://sijmen.ruwhof.net/weblog/268-password-hash-disclosure-in-linksys-smart-wifi-routers

02-11-2014, 00:44 door [Account Verwijderd]

[Verwijderd]

04-11-2014, 09:35 door Anoniem

Porten aan de WAN kant open ? Is dat een bug, of een feature ? Je kunt immers simpelweg niet stellen dat je dat niet weet als producten.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer