TP-Link dicht ernstig lek in niet meer ondersteunde router
Netwerkfabrikant TP-Link heeft een beveiligingsupdate uitgebracht voor een routermodel dat eigenlijk niet meer wordt ondersteund. Het gaat om de TP-Link WR841N V8, een populaire wifi-router. Onderzoekers van securitybedrijf Senrio ontdekten dat het mogelijk was om de router op afstand over te nemen.
De router biedt gebruikers een configuratieservice om verschillende instellingen aan te passen. Een logische fout in deze service laat een aanvaller in de buurt de toegangscontrole omzeilen en de inloggegevens van de router resetten. De onderzoekers deden dit via een protocol dat in de firmware van nieuwere hardwaremodellen is verwijderd. Na het resetten van de inloggegevens konden de onderzoekers via een standaard gebruikersnaam en wachtwoord op het apparaat inloggen.
Vervolgens ontdekten ze een kwetsbaarheid in de configuratieservice waardoor het mogelijk was om willekeurige code op de router uit te voeren, zoals het installeren van malware. De onderzoekers waarschuwden TP-Link voor de kwetsbaarheid, maar kregen toen te horen dat het model eigenlijk niet meer werd ondersteund. Toch besloot de netwerkfabrikant een update uit te rollen waarin de configuratieservice is verwijderd.
Het is echter de vraag hoeveel gebruikers de update hebben geïnstalleerd. Volgens de onderzoekers zijn via de Shodan-zoekmachine ruim 93.000 WR841N-routers te vinden. "En hoewel het niet met zekerheid valt te zeggen, lijkt het zeer onwaarschijnlijk dat ze allemaal de laatste firmware op de nieuwste hardwareversie draaien." Ondanks de actie van TP-Link stellen de onderzoekers dat er nieuwe en innovatieve manieren nodig zijn om verouderde apparaten die niet meer worden ondersteund te beschermen.
Zo duur zijn die dingen nou ook weer niet.
Zelfs op recente apparaten als de Archer C2600 AC kan de toegang tot de webinterface niet met HTTPS worden beveiligd en blijkens een mededeling van de producent zal dit gebrek ook niet verholpen gaan worden (want al end-of-life !). Bij toegang vanaf het LAN valt nog enigszins te betogen dat dit gebrek niet al te veel risico oplevert, maar toegang via de WAN interface kan ook worden aangezet en dan levert dat evident een ernstig veiligheidsrisico op.
Je zou de fabrikanten/verkopers wettelijk willen verplichten dat zij zelf op het Internet scannen welke door hen geleverde systemen problematisch zijn om de gebruikers van die systemen een adequate update aan te bieden. (i.v.m. privacy beletsels: wettelijke verplichting levert grondslag op voor opvragen gebruikersgegevens bij providers, deze gegevens mogen vervolgens alleen voor dit gestelde doel worden gebruikt).
p.s.
Onder OpenWrt/LEDE is de C2600 een beest van een apparaat !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
