image

Malware steelt wifi-wachtwoord via beveiligingslek in routers

dinsdag 6 december 2016, 12:08 door Redactie, 6 reacties

De malware die onlangs nog voor problemen bij Deutsche Telekom en verschillende Britse internetproviders zorgde blijkt routers niet alleen te infecteren, maar ook het wifi-wachtwoord te stelen. Dat meldt Andrew Tierney van het Britse beveiligingsbedrijf Pen Test Partners in een blogposting.

De malware gebruikt de TR-064- en TR-069-configuratieprotocollen over poort 7547 om toegang tot de routers te krijgen. Vervolgens wordt de malware geladen die de besmette router naar andere kwetsbare routers laat zoeken. Pen Test Partners heeft een honeypot draaien en zag onlangs een aanval waarbij werd geprobeerd om niet alleen het apparaat te besmetten, maar ook het wifi-wachtwoord te stelen.

Vanwege de aanvallen hebben verschillende providers inmiddels updates uitgebracht om het probleem te verhelpen. De update schakelt de TR-064-interface op de router uit en reset de wachtwoorden naar die op de achterkant van de router staan vermeld. Volgens Tierney werkt deze oplossing niet. "De meeste klanten wijzigen hun wifi-wachtwoord niet van die op de router staat vermeld. Waarom zouden ze? Ik denk dat ze niet eens weten dat dit kan."

Dit houdt in dat zelfs als de router door de provider wordt gereset, de aanvallers nog steeds over werkende wifi-sleutels beschikken die ze eerder hebben gestolen. Enige vereiste is wel dat een aanvaller in de buurt van het wifi-netwerk moet zijn om van de gestolen inloggegevens gebruik te maken. Volgens Tierney is de kans dan ook groot dat bij klanten van TalkTalk en andere internetproviders de wifi-wachtwoorden zijn gestolen en ze daarom risico lopen. "Tenzij TalkTalk en andere providers kunnen bewijzen dat de wifi-wachtwoorden van klanten niet zijn gestolen, zouden ze alle routers van klanten met spoed moeten vervangen." In de tussentijd krijgen gebruikers het advies om hun router te resetten en dan het wifi-wachtwoord te veranderen.

Reacties (6)
06-12-2016, 12:39 door [Account Verwijderd]
gewoon eens vraag, misschien weet iemand de mogelijkheden

Ik heb een zyxel router van mijn provider, waar ik zo'n geweldige relatie mee heb..... , ik wil eigenlijk af van het contract.

wat ik mij nu afvraag, ik ga met msf die poc draaien (waarschijnlijk extern) tegen mijn public IP en ik zou kwetsbaar zijn, zou ik dan de provider in gebreke kunnen stellen?
06-12-2016, 12:40 door Anoniem
Als het zo doorgaat is er binnen no-time een ledger die op (neem ik aan) basis van mac-adres het wachtwoord zou kunnen beoordelen. Het wordt dan wel heel makkelijk als men toegang heeft tot een aparaat met bedraadde verbinding om daarnaast ook nog een wifi verbinding te openen voor een wel heel laterale vector!
06-12-2016, 13:25 door Anoniem
Hoe voeren ze die updates uit als de malware alle relevante poorten heeft dicht gezet?
06-12-2016, 14:30 door Anoniem
Door timmothai: gewoon eens vraag, misschien weet iemand de mogelijkheden

Ik heb een zyxel router van mijn provider, waar ik zo'n geweldige relatie mee heb..... , ik wil eigenlijk af van het contract.

wat ik mij nu afvraag, ik ga met msf die poc draaien (waarschijnlijk extern) tegen mijn public IP en ik zou kwetsbaar zijn, zou ik dan de provider in gebreke kunnen stellen?

Hoogst onwaarschijnlijk. Tevens moet je bij een in gebreke stelling de provider een redelijke termijn geven om het op te lossen. Ze sturen je een nieuwe, niet kwetsbare, modem en het probleem is opgelost. Afhankelijk van je provider zullen ze hier niet eens echt moeilijk over doen.
06-12-2016, 15:11 door Anoniem
Heel simpel ... TR-064- en TR-069 uitzetten, zodra dit niet kan firewall ervoor gooien of een ander modem aanvragen, als ze dit niet vervangen -> weggaan bij je provider..
06-12-2016, 19:48 door ph-cofi
Nog simpeler (in dit geval) WIFI uitzetten in de router-webinterface. Eigenlijk hebben de aanvallers er zelf niets aan, misschien kunnen ze wachtwoorden verkopen aan lokalen, die via WIFI ...? kunnen aanvallen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.