image

Asus-routers kwetsbaar voor aanvallen door ontwerpfout

zondag 14 februari 2016, 10:40 door Redactie, 7 reacties

Wifi-routers van Asus bevatten een ontwerpfout waardoor gebruikers denken dat de apparaten voor het internet zijn afgeschermd, terwijl dit niet zo is. Dat meldt onderzoeker David Longenecker. De routers bieden gebruikers de mogelijkheid om het beheerderspaneel toegankelijk via internet te maken.

Een risicovolle instelling, omdat aanvallers op deze manier kunnen proberen om op de router in te loggen. Standaard staat deze optie uitgeschakeld en is het apparaat alleen toegankelijk vanaf het lokale netwerk. Een ontwerpfout in het beheerderspaneel zorgt er echter voor dat het paneel nog steeds toegankelijk via internet is, ook al staat de optie ingesteld dat dit niet mogelijk moet zijn.

De wifi-routers beschikken namelijk ook over een firewall. De firewall-instelling blijkt de instelling voor internettoegang tot het beheerderspaneel te overstemmen. Als gebruikers zowel internettoegang tot het beheerderspaneel als de firewall hebben uitgeschakeld, is het paneel alsnog toegankelijk via internet. Daarbij krijgen gebruikers geen waarschuwing te zien dat anderen op de router kunnen proberen in te loggen. Alleen als de firewall ook staat ingeschakeld is het beheerderspaneel afgeschermd.

Een aanvaller moet nog steeds het ip-adres van de router weten en het wachtwoord zien te achterhalen om in te loggen. Toch vormt het een beveiligingsrisico, mede omdat gebruikers denken dat ze veilig zijn, aldus de onderzoeker. Gebruikers krijgen dan ook het advies om beide instellingen te controleren. Meer dan 135.000 Asus-routers zijn via internet toegankelijk, waarvan 15.000 gebruikers dachten dat ze veilig waren omdat ze specifieke beveiligingsinstellingen hadden ingeschakeld, aldus Longenecker. Het probleem speelt bij Asus-router met de AsusWRT-firmware.

Reacties (7)
14-02-2016, 13:45 door Anoniem
Tja,kan gebeuren maar is niet wenselijk die fout,maar dat kan met een nieuwe patch wel worden verholpen voor die router firmware denk ik.
Dat zal Asus ook wel doen denk ik nu ze op de hoogte van dat lek zijn.
14-02-2016, 16:26 door karma4
Wat is het lek? Je zet de firewall op de router uit en dan ben je verbaasd dat het verkeer van binnen naar buiten door kan.
een firewall heeft als basisfundtie .... juist ja (verkeer van buiten naar binnen afschermen). Er was ooit een verhaal dat je en kat niet in een magnetron moet drogen. Kan het beest niet tegen. Zoiets kon wel op de houtkachel.
14-02-2016, 17:55 door Anoniem
Iedere service die je onnodig voor iedereen toegankelijk maakt is een extra risico. Hopen dat het wel mee zal vallen is vals hoop.
15-02-2016, 09:55 door Anoniem
Door karma4: Wat is het lek? Je zet de firewall op de router uit en dan ben je verbaasd dat het verkeer van binnen naar buiten door kan.
een firewall heeft als basisfundtie .... juist ja (verkeer van buiten naar binnen afschermen). Er was ooit een verhaal dat je en kat niet in een magnetron moet drogen. Kan het beest niet tegen. Zoiets kon wel op de houtkachel.
Volgens mij heb je het niet helemaal begrepen...
Als je een vinkje ergens kunt zetten voor wel/niet beheer van buitenaf dan verwacht je dat daarmee het bind address van
de management poort wordt ingesteld. Geen beheer van buitenaf = bind naar het LAN adres, wel beheer van buitenaf
betekent bind naar 0.0.0.0 of een aparte bind naar LAN en WAN adres.
Met de firewall heeft dat verder niks te maken, zelfs al staat die wijd open dan verwacht je (in een NAT router) niet dat
er toegang van buitenaf mogelijk is naar een LAN adres. M.a.w. dit is wel degelijk een misleidende en foute situatie.
Als de toegang van buitenaf niet geregeld is met het bind adres maar met de firewall, laat dan ook die misleidende keuze
voor wel/geen extern beheer weg en regel dat met de firewall. Dan snapt iedereen dat die aan moet zijn.
15-02-2016, 14:40 door Anoniem
Reden temeer om dus altijd een sterke username/password combinatie te maken.
15-02-2016, 18:29 door Anoniem
Lees ook even de link achter "David Longenecker":
"very easy and reliable workaround available:enable the firewall in addition to disabling web access from the WAN.
Lijkt me bovendien nogal voor de hand liggen dat je een firewall normaalgesproken natuurlijk niet disabled.
In gevallen waarbij de "firewall-deur" toch eventjes open moet, is het laatste waar ik me druk over maak,
dat met zo'n openstaande deur een attacker misschien wel gaat morrelen aan het slot van die deur... ;-)
Desondanks heeft David gelijk dat het eventueel zou kunnen, en dat dit meestal niet de bedoeling is.
Het kan dus maar beter met een firmware-update gerepareerd worden.

Deze kwetsbaarheid is kennelijk aanwezig in alle Asus routers die "RT" in hun typenaam dragen,
maar kan onder vergelijkbare omstandigheden optreden in alle linux-gebaseerde routers! (dus niet alleen ASUS)
Hier een link om het te kunnen testen: https://www.shodan.io/host/1.1.1.1 (als je shodan tenminste vertrouwt...)
(in plaats van "1.1.1.1" dien je je eigen WAN-IP-adres in te voeren)

Of nooit de firewall disablen. (tegelijk met admin toegang vanaf het web nooit toestaan)

Een sterk username/password helpt niet, als vanwege een disabled firewall er bijv. een keylogger wordt geïnstalleerd
waardoor vervolgens de router-beheerderscredentials gemakkelijk kunnen worden gekopieerd zodra je ze intypt. ;-)

Als remote inloggen onvermijdelijk is, kan men het beste eerst via de lokale interface (indien dit nog niet gedaan is)
hele sterke wachtwoord credentials instellen.
Voor remote toegang dient een beveiligde verbinding te worden toegepast, zoals SSH of HTTPS.
Veel routers kunnen helaas alleen HTTP aan voor remote access, zodat router-beheerderscredentials gemakkelijk
zouden kunnen worden afgeluisterd voor iedereen die de lijn weet af te tappen...

Goeroehoedjes
12-04-2016, 08:59 door Anoniem
En wanneer je VPN op diezelfde ASUS-RT router installeert en men het pakketje (OVPN-file) in handen krijgt kan met toch ook alleen door username en password van zowel VPN als router naar binnen (beide usernames en passwords zijn uiteraard niet gelijk aan elkaar)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.