image

Malware gebruikt Netgear-routers voor aanvallen op bedrijven

donderdag 14 september 2017, 14:05 door Redactie, 6 reacties

Onderzoekers hebben malware ontdekt die Netgear-routers via een beveiligingslek infecteert en vervolgens gebruikt om aanvallen op Fortune 500-bedrijven te faciliteren. De kwetsbaarheid is in 29 router-modellen van Netgear aanwezig, waaronder de WNR2000, en kan alleen worden aangevallen als een aanvaller toegang tot het lokale netwerk heeft of remote management staat ingeschakeld.

De onderzoeker die de kwetsbaarheid vorig jaar december openbaarde stelde dat er op dat moment 10.000 routers op internet te vinden waren waar remote management stond ingeschakeld. Volgens de advisory van Netgear is het beveiligingslek inmiddels in zes modellen gepatcht. Ondanks de beschikbaarheid van een update en vereiste om remote management ingeschakeld te hebben zijn er nog altijd kwetsbare apparaten te vinden.

Onderzoekers van Forkbombus Labs waarschuwen namelijk voor de RouteX-malware die kwetsbare routers via het lek infecteert. Vervolgens wordt de router in een SOCKS-proxy veranderd die de aanvaller bij andere aanvallen kan faciliteren. In het geval van de RouteX-malware wordt er geprobeerd om met gestolen inloggegevens, die bijvoorbeeld via datalekken zijn verkregen, op accounts van Fortune 500-bedrijven in te loggen. Om te voorkomen dat anderen de geïnstalleerde proxy-server gebruiken maakt de RouteX-malware gebruik van IPTables, zodat alleen goedgekeurde ip-adressen toegang tot het apparaat hebben.

Reacties (6)
14-09-2017, 14:54 door Anoniem
Ondanks de beschikbaarheid van een update en vereiste om remote management ingeschakeld te hebben zijn er nog altijd kwetsbare apparaten te vinden.

Niet verbazingwekkend. De meeste consumenten weten niet dat :

- Je een router kunt updaten
- Hoe je een router update
- Dat er een update beschikbaar is
- Wat remote management is

Dus zonder automatisch update mechanisme, zullen de meeste routers permanent kwetsbaar blijven. Remote management zal ook niet plotseling uit staan bij het grootste deel van de consumenten. De router installeren ze eenmalig, en daarna kijkt men er nooit meer naar om.
15-09-2017, 03:04 door Anoniem
Ik heb zelfs een netgear router liggen die ik niet eens kan updaten omdat er brakke ziggo firmware op staat, onbegrijpelijk.
15-09-2017, 09:02 door Anoniem
Ja maar dat kan met een Windows computer ook, state actors kunnen zo maar bij een gericht aanval je een update voorschotelen, die vogelvoer van je maakt. Niet echt verrassend dus. Alles is en kwestie van Trust!!!!!!
15-09-2017, 12:09 door Anoniem
Zelf heb ik een WNR3700v2. De virusscanner geeft ook aan dat ie vulnerable is. maar ik heb de laatste firmware.
Heb wel een mailtje bij Netgear gedropt, maar of het zal helpen?
Ik denk dat ze liever een nieuwe verkopen.
15-09-2017, 19:40 door Anoniem
Door Anoniem: Zelf heb ik een WNR3700v2. De virusscanner geeft ook aan dat ie vulnerable is. maar ik heb de laatste firmware.
Heb wel een mailtje bij Netgear gedropt, maar of het zal helpen?
Ik denk dat ze liever een nieuwe verkopen.

Ik heb een WNDR 3700v2 en ik heb al tijden DDWRT erop geinstalleerd. Veel beter dan de orginele firmware en ik hoop ook een stuk veiliger. Er zijn continu updates :)
17-09-2017, 10:58 door Anoniem
Door Anoniem: Ik heb zelfs een netgear router liggen die ik niet eens kan updaten omdat er brakke ziggo firmware op staat, onbegrijpelijk.
Ziggo geeft nergens aan welke updates de recentste zijn voor hun apparatuur totdat je suggereert op hun klantenfora dat er een hack gepleegd zou kunnen zijn via een niet ondervangen kwetsbaarheid. Dan moet je aannemen dat Ziggo het allemaal voor je opgelost heeft. Weerleg je het met feiten volgt een welles-nietes gevecht waarbij Ziggo pijnlijk blootgeeft geen behoefte te hebben aan ethische hackers. Het is dan ook niet verwonderlijk dat men er een groot verloop heeft aan ICT-ers die allereerst waardering voor hun kennisniveau ambiëren.

De Netgear-router wordt denk ik niet meer ondersteund door Ziggo maar men verdomt het ze te vervangen als je niet hun duurste dienstenpakket afneemt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.