image

Backdoors en andere kwetsbaarheden in D-Link-router ontdekt

vrijdag 30 september 2016, 10:22 door Redactie, 7 reacties

Dat de beveiliging van routers ernstig te wensen overlaat blijkt uit onderzoek van Pierre Kim, die in de D-Link DWR-932B-router zo'n 20 kwetsbaarheden vond, waaronder een backdoor, backdoor-accounts en andere problemen. Hoewel D-Link al maanden geleden werd gewaarschuwd is er nog altijd geen update.

Via de kwetsbaarheden kunnen aanvallers het apparaat volledig overnemen en het verkeer van gebruikers onderscheppen en manipuleren. De eerste problemen die Kim ontdekte betreffen twee backdoor-accounts waarmee er toegang tot de router kan worden verkregen. De accounts maken van standaardwachtwoorden gebruik en één van de accounts staat niet eens vermeld. Verder blijkt de router over een andere backdoor te beschikken. Door het versturen van udp-pakketten wordt er een telnet-server gestart die geen wachtwoord vraagt. Zodra de aanvaller hierop is ingelogd heeft hij rootrechten.

Verder blijkt de code voor de Wi-Fi Protected Setup (WPS) een vaste waarde te hebben. Een aanvaller in de buurt kan zo toegang tot het wifi-netwerk krijgen. De router beschikt tevens over een Remote Firmware Over The Air-functie. De inloggegevens om verbinding met de server te maken staan "hardcoded" in de software. Daarnaast worden de updates wel over https opgehaald, maar is het gebruikte ssl-certificaat al 1,5 jaar verlopen.

Ook blijkt dat D-Link in het UPnP-gedeelte de beveiliging heeft verwijderd, waardoor er geen beperkingen voor UPnP-regels zijn, zoals alleen het doorsturen van poorten boven poort 1024. Volgens Kim is het daarnaast mogelijk om de firmware door een gebackdoorde firmware te vervangen. De onderzoeker waarschuwde D-Link op 15 juni van dit jaar. Deze maand liet de netwerkfabrikant weten dat het nog geen planning heeft voor het uitbrengen van een update. Kim besloot daarop zijn bevindingen openbaar te maken.

Reacties (7)
30-09-2016, 11:12 door Anoniem
Ik dacht "nou dat is niet leuk voor de mensen die zo'n router aan hun kabel internet hebben" maar het blijkt om zo'n
mobiel 4G routertje te gaan (WiFi naar 4G). Dat maakt het allemaal toch wat minder spectaculair.
Van internet af aanvallen zal meestal niet lukken (normaal gesprokken zit je achter CGNAT of minstens een firewall).
30-09-2016, 12:08 door Anoniem
Dank voor de melding. D-Link staat bij deze bij mij op de zwarte lijst.
30-09-2016, 13:08 door Anoniem
Gelukkig gebruik ik nog het oudere model.
Het mooie is dat alle focus tegenwoordig op nieuwe modellen ligt, als je zeer outdated hardware gebruikt is de kans klein dat je uberhaupt word aangevallen. Ik kan het weten, want ik ben expert op dit gebied, haha!

TheYOSH
30-09-2016, 13:43 door Anoniem
Door Anoniem: Dank voor de melding. D-Link staat bij deze bij mij op de zwarte lijst.
Bedenk wel dat de meeste merken tegenwoordig zelf niks meer maken maar het ook weer ergens inkopen.
Dit soort incidenten zegt dus niks over andere D-Link routers en niks over vergelijkbare devices van andere merken.
(andere D-Link routers kunnen totaal anders zijn en WiFi naar 4G routers van andere merken kunnen hetzelfde rotte
binnenwerk bevatten)
30-09-2016, 15:27 door Anoniem
Door Anoniem: Dank voor de melding. D-Link staat bij deze bij mij op de zwarte lijst.
Dank voor de melding. D-Link stond al bij mij op de zwarte lijst... ;-)
30-09-2016, 21:38 door Anoniem
Financiële producten moeten waarschuwingen bevatten als ze risicovol zijn en een lakse fabrikant als DramaLink mag zijn rotzooi gewoon blijven verkopen zonder een groot en vet waarschuwingslabel op de doos.

Beetje vreemd eigenlijk.
04-10-2016, 10:29 door Anoniem
De meeste gevestigde merken hebben hun security niet op orde. Lees en huiver: http://routersecurity.org/ Synology lijkt met haar nieuwe router de zaken wel (beter) op orde te hebben. Er zijn helaas maar weinig merken die security serieus nemen en direct acteren als er een probleem wordt geconstateerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.