De recente problemen met aanvallen op routers, waardoor onder andere 900.000 klanten van Deutsche Telekom met storingen te maken kregen, hadden voorkomen kunnen worden als internetproviders de veiligheid hadden gecontroleerd van de apparatuur die ze klanten aanbieden.
Dat zegt Joe Bursell van het Britse beveiligingsbedrijf Pen Test Partners. Naast Deutsche Telekom kregen ook internetproviders in Groot-Brittannië, Ierland en andere landen met aanvallen te maken. Wereldwijd zijn mogelijk miljoenen routers kwetsbaar voor de malware die achter de aanvallen zit. De malware gebruikt de TR-064- en TR-069-configuratieprotocollen over poort 7547 om toegang tot de routers te krijgen. Providers gebruiken de protocollen om routers op afstand te beheren. Bij sommige modems en routers zijn de protocollen niet voor het internet afgeschermd en zijn de apparaten voor kwaadwillenden via het protocol toegankelijk.
Op de vraag hoe dit kon gebeuren wijst Bursell naar de internetproviders. "Het is een lang verhaal, maar we denken dat providers de veiligheid niet goed hebben gecontroleerd van de routers die ze aan klanten geven." De software van de routerfabrikanten zou het TR-064-configuratieprotocol niet goed beveiligen. "De providers hadden beter de routers moeten controleren voordat ze die naar klanten stuurden. De fabrikanten hadden in de eerste plaats veilige software moeten schrijven."
Volgens Bursell is het probleem van TR-064 al enige tijd bekend. "Maar tot voor kort beseften maar weinigen hoe ernstig het was. Totdat iemand een botnet begon te bouwen en de routers van mensen stopten met werkten, namen maar weinig mensen dit serieus." Pen Test Partners liet eerder deze week weten dat de malware de router niet alleen infecteert, maar ook het wifi-wachtwoord steelt. Getroffen gebruikers krijgen dan ook het advies om hun router te updaten en hun wifi-wachtwoord te wijzigen, hoewel Bursell hoopt dat providers bij hun abonnees de routers gaan vervangen.
Deze posting is gelocked. Reageren is niet meer mogelijk.