TP-Link dicht ernstig lek in niet meer ondersteunde router
Netwerkfabrikant TP-Link heeft een beveiligingsupdate uitgebracht voor een routermodel dat eigenlijk niet meer wordt ondersteund. Het gaat om de TP-Link WR841N V8, een populaire wifi-router. Onderzoekers van securitybedrijf Senrio ontdekten dat het mogelijk was om de router op afstand over te nemen.
De router biedt gebruikers een configuratieservice om verschillende instellingen aan te passen. Een logische fout in deze service laat een aanvaller in de buurt de toegangscontrole omzeilen en de inloggegevens van de router resetten. De onderzoekers deden dit via een protocol dat in de firmware van nieuwere hardwaremodellen is verwijderd. Na het resetten van de inloggegevens konden de onderzoekers via een standaard gebruikersnaam en wachtwoord op het apparaat inloggen.
Vervolgens ontdekten ze een kwetsbaarheid in de configuratieservice waardoor het mogelijk was om willekeurige code op de router uit te voeren, zoals het installeren van malware. De onderzoekers waarschuwden TP-Link voor de kwetsbaarheid, maar kregen toen te horen dat het model eigenlijk niet meer werd ondersteund. Toch besloot de netwerkfabrikant een update uit te rollen waarin de configuratieservice is verwijderd.
Het is echter de vraag hoeveel gebruikers de update hebben geïnstalleerd. Volgens de onderzoekers zijn via de Shodan-zoekmachine ruim 93.000 WR841N-routers te vinden. "En hoewel het niet met zekerheid valt te zeggen, lijkt het zeer onwaarschijnlijk dat ze allemaal de laatste firmware op de nieuwste hardwareversie draaien." Ondanks de actie van TP-Link stellen de onderzoekers dat er nieuwe en innovatieve manieren nodig zijn om verouderde apparaten die niet meer worden ondersteund te beschermen.
Zo duur zijn die dingen nou ook weer niet.
Zelfs op recente apparaten als de Archer C2600 AC kan de toegang tot de webinterface niet met HTTPS worden beveiligd en blijkens een mededeling van de producent zal dit gebrek ook niet verholpen gaan worden (want al end-of-life !). Bij toegang vanaf het LAN valt nog enigszins te betogen dat dit gebrek niet al te veel risico oplevert, maar toegang via de WAN interface kan ook worden aangezet en dan levert dat evident een ernstig veiligheidsrisico op.
Je zou de fabrikanten/verkopers wettelijk willen verplichten dat zij zelf op het Internet scannen welke door hen geleverde systemen problematisch zijn om de gebruikers van die systemen een adequate update aan te bieden. (i.v.m. privacy beletsels: wettelijke verplichting levert grondslag op voor opvragen gebruikersgegevens bij providers, deze gegevens mogen vervolgens alleen voor dit gestelde doel worden gebruikt).
p.s.
Onder OpenWrt/LEDE is de C2600 een beest van een apparaat !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
