image

Ernstige lekken in 13 WiFi-routers ontdekt

donderdag 18 april 2013, 10:52 door Redactie, 6 reacties

Verschillende populaire WiFi-routers bevatten lekken waardoor zowel lokale aanvallers als aanvallers via het internet toegang tot de apparaten kunnen krijgen en in staat zijn om verkeer te onderscheppen. Het gaat om modellen van fabrikanten Linksys, Belkin, Netgear, TP-Link, D-Link en Verizon en vijf niet nader genoemde modellen of fabrikanten.

Het onderzoek werd door Independent Security Evaluators (ISE) uitgevoerd. Alle 13 onderzochte routers zijn via het lokale netwerk te kapen en in vier gevallen is er geen actieve managementsessie vereist. 11 van de 13 routers zijn via het internet over te nemen, waarvan er in twee gevallen geen authenticatie nodig is.

Verder bleek dat tenminste de helft van de routers die network attached storage (NAS) aanbieden op afstand zijn aan te vallen. De volledige details zal ISE in de toekomst bekendmaken. Volgens de onderzoekers zijn WiFi-routers ondanks hun populariteit nauwelijks door beveiligingsonderzoekers onderzocht.

"De ernstige kwetsbaarheden die in deze apparaten beschikbaar is, demonstreren de noodzaak voor verder onderzoek." De nu ontdekte lekken zouden door een aanvaller met 'gemiddelde vaardigheden' zijn te misbruiken.

Firmware
De onderzoekers verdeelden de aanvallen in drie categorieën. De eerste categorie zijn aanvallen die direct tegen de router kunnen worden uitgevoerd en waarbij geen interactie van een gebruiker of toegang tot de inloggegevens is vereist. Als tweede zijn er de ongeauthenticeerde aanvallen.

Hierbij is een vorm van menselijke interactie vereist, zoals het openen van een kwaadaardige link of het surfen naar een onveilige pagina. In dit geval is er geen actieve sessie of toegang tot inloggegevens vereist.

De laatste categorie zijn aanvallen waarbij de aanvaller toegang tot inloggegevens heeft, bijvoorbeeld de standaard inloggegevens of dat het slachtoffer ten tijde van de aanval is ingelogd. Aan de hand van het onderzoek zijn er 17 problemen ontdekte waar 21 aparte CVE-nummers zijn toegekend. De leveranciers in kwestie zouden nog geen firmware hebben uitgebracht om de problemen op te lossen.

Reacties (6)
18-04-2013, 11:08 door yobi
Misschien is enige wetgeving wel handig. Dergelijke apparatuur is door veel gebruikers niet goed in te stellen. Leveranciers leveren liever functionaliteit in plaats van veiligheid. Beter zou het apparaat uit de doos veilig voor de gebruiker ingesteld moeten zijn.

Dus: WPS-uit, PNP-uit, geen beheer op afstand, geen verborgen accounts, enz...

Natuurlijk verkoopt dat niet.
18-04-2013, 11:24 door Anoniem
Door yobi: Dergelijke apparatuur is door veel gebruikers niet goed in te stellen.
Leveranciers leveren liever functionaliteit in plaats van veiligheid.

Eerst zeg je dat het niet goed is in te stellen, daarna zeg je dat de leveranciers juist liever focussen dat gebruikers makkelijk dingen kunnen instellen?
18-04-2013, 11:45 door Anoniem
Sorry hoor, maar op deze wijze is natuurlijk 'alles' 'lek'; "Attack Requirements
The victim must have an active management session with the WRT310v2 router.
The victim must be fooled in to performing an action (e.g., by clicking an attacker provided link), browse to a malicious or compromised site, or be the victim of a man-in-the-middle attack."
18-04-2013, 14:51 door lucb1e
Door Anoniem: Sorry hoor, maar op deze wijze is natuurlijk 'alles' 'lek'; "Attack Requirements
The victim must have an active management session with the WRT310v2 router.
The victim must be fooled in to performing an action (e.g., by clicking an attacker provided link), browse to a malicious or compromised site, or be the victim of a man-in-the-middle attack."
Bij routers is deze situatie wel erg zeldzaam, maar een CSRF aanval wordt wel degelijk gezien als een groot probleem. Zie ook de OWASP top 10.
18-04-2013, 15:38 door Anoniem
Door yobi: Misschien is enige wetgeving wel handig.
- Gebruikers zijn zelf verantwoordelijk voor alle objecten die ze bezitten. Een huis, auto, een router, AP of andere computer.
- Wetgeving die eist dat devices veilig zijn, maakt devices niet veiliger. Enkel dat het door bepaalde (mogelijk slecht uitgevoerde, mogelijk niet uitgevoerde) checks komt. Dat zal geen representatie zijn van de werkelijkheid.
- Je wil geen push updates forceren vanuit leveranciers. 1 lek in dat systeem....

Ik denk dat onze politiek, zich met belangrijkere dingen bezig kan houden. Dan met technieken, die ze niet (en nooit zullen) begrijpen.

Dergelijke apparatuur is door veel gebruikers niet goed in te stellen.
Dergelijke gebruikers zie ik ook geen caborateur afstellen, of versnellingsbak vervangen (die paar schroefjes/boutjes). Dat laten ze meestal aan de pro's over (garages). Computers werken anders (stukken lastiger) dan een mechanisch proces, zo anders, dat zelfs garages (computerwinkels) er vaak niets mee kunnen wegens kennisgebrek (echte garages zijn ook gelimiteerd in kennis/kunde van computers in auto's). Wat verwacht je dan van gebruikers? Voorlichting en educatie zijn een taak van overheid, leveranciers en andere (IT) professionals.

De kijk van gebruikers naar apparatuur, is anders. Het is 'gewoon een apparaat'.

Vergeet niet dat het internet (IPv4) is ontwikkeld als "experimenteel netwerk", en nooit een andere status heeft gekregen.

Door Anoniem: Sorry hoor, maar op deze wijze is natuurlijk 'alles' 'lek';
Juist.... gebruikers! :-)
19-04-2013, 20:19 door Anoniem
M.a.w. door PEBKAC zijn alle systemen zo lek als een mandje! ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.