image

TP-Link dicht ernstig lek in wifi-router binnen een week

zaterdag 21 oktober 2017, 12:23 door Redactie, 23 reacties

Geregeld verschijnen er berichten over fabrikanten van netwerkapparatuur die niet op bugmeldingen van onderzoekers reageren of maanden de tijd nemen om een update te ontwikkelen. Het kan echter ook anders, zo laat fabrikant TP-Link zien. Het bedrijf werd op 11 augustus van dit jaar door onderzoeker Tim Carrington geïnformeerd over een kwetsbaarheid in de WR940N wifi-router.

Via de kwetsbaarheid kon een aanvaller op afstand willekeurige code uitvoeren. De WR940N wordt ook in Nederland verkocht en volgens Carrington zijn er ruim 7.000 van deze wifi-routers via internet bereikbaar. Na te zijn ingelicht op 11 augustus vroeg TP-Link op 14 augustus om de initiële advisory van Carrington, die de informatie op dezelfde dag terugstuurde. Drie dagen later op 17 augustus had TP-Link al een beta-patch ontwikkeld en naar de onderzoeker gestuurd om te testen. De patch bleek de gevonden problemen te verhelpen.

Carrington had in de tussentijd nog andere kwetsbare plekken in de router gevonden en waarschuwde TP-Link op 17 augustus. Een dag later liet de netwerkfabrikant weten dat het een onderzoek zou instellen en een week later was er een nieuwe patch ontwikkeld die de nieuwe problemen verhielp. Begin september werd de patch voor het publiek beschikbaar gemaakt. Carrington besloot deze week de details van de kwetsbaarheden vrij te geven.

Reacties (23)
21-10-2017, 13:07 door karma4 - Bijgewerkt: 21-10-2017, 16:35
Het lek is pas gedicht als alle routers de nieuwe software hebben geinstalleerd. Kan zo maar wat jaartjes duren.
Zo te zien een soho apparaatje van ca €30. Je mag al blij zijn als de winkelvoorraad aangepast zou worden.
21-10-2017, 13:32 door Anoniem
Dat is geen reële suggestie.
Jij koopt in de winkel ook geen verpakking die geopend is en waar de krimpfolie vanaf is.

En al helemaal niet als je vraagt waarom de folie eraf is en de verkoper jou vertelt:
"Oh, er werden binnen 2 weken 2 kwetsbaarheden gevonden door een externe onderzoeker, maar nu is hij veilig hoor."
21-10-2017, 13:58 door karma4 - Bijgewerkt: 21-10-2017, 16:35
Door Anoniem: Dat is geen reële suggestie.
Jij koopt in de winkel ook geen verpakking die geopend is en waar de krimpfolie vanaf is. ....
Daar heb je gelijk in. Dus al die modellen terug in de verpakking naar de fabriek en dan nieuwe er voor in de plaats. Hmmm Vervoer en aanpassen lijkt met te duur, mogen ze meteen de recycling in.
21-10-2017, 15:32 door Anoniem
Volgens mij hoeven de gebruikers alleen een bios update te doen toch? Waarom terug naar de winkel dan?
21-10-2017, 16:47 door Anoniem
Karma4,
Firmware updaten is en blijft een verantwoordelijkheid van de koper.
Dat zou iedereen nu toch wel eens moeten weten.
21-10-2017, 16:53 door Anoniem
Door Anoniem: Karma4,
Firmware updaten is en blijft een verantwoordelijkheid van de koper.
Dat zou iedereen nu toch wel eens moeten weten.

Klopt maar daarom hoeft ie nog niet terug naar de winkel. Er zullen nog meer updates volgen in de toekomst, ook bij een up to date ruil exemplaar.
Ben het met je eens dat updates automatisch geïnstalleerd zouden moeten worden.
21-10-2017, 17:00 door Briolet
Als koper moet je er altijd vanuit gaan dat de software van gekochte apparaten inmiddels verouderd is. Standaard laat ik de installatiesoftware ook altijd in de doos zitten en ga naar de website van de fabrikant en haal daar de nieuwste versie op.
21-10-2017, 17:38 door Anoniem
Door Anoniem: Dat is geen reële suggestie.
Jij koopt in de winkel ook geen verpakking die geopend is en waar de krimpfolie vanaf is.

En al helemaal niet als je vraagt waarom de folie eraf is en de verkoper jou vertelt:
"Oh, er werden binnen 2 weken 2 kwetsbaarheden gevonden door een externe onderzoeker, maar nu is hij veilig hoor."

Dan had ik die Windows DVD helemaal niet uit de folie hoeven te halen. ;)
21-10-2017, 20:25 door karma4
Door Anoniem:
Klopt maar daarom hoeft ie nog niet terug naar de winkel. Er zullen nog meer updates volgen in de toekomst, ook bij een up to date ruil exemplaar.
Ben het met je eens dat updates automatisch geïnstalleerd zouden moeten worden.
Met automatisch update heb je boel weliswaar bij de fabrikant gelegd, nadeel: was als de fabrikant gehacked wordt?
Niet automatisch, dan moeten Henk en Ingrid het kunnen afhandelen, een te hoge verwachting .
21-10-2017, 20:27 door Anoniem
Best wel treurig dat je er standaard vanuit kan gaan dat al je apparatuur lek is en dat veiligheidsdiensten en schimmige bedrijven met grote budgetten vaak eerder de lekken kennen en kunnen misbruiken dan dat beveiligingsonderzoekers (met lagere budgetten) ze vinden. Laatst was Netgear ook al flink aan de beurt.. https://www.vpngids.nl/nieuws/beveiligingslek-netgear-routers/
21-10-2017, 20:37 door Anoniem
Door karma4:
Door Anoniem:
Klopt maar daarom hoeft ie nog niet terug naar de winkel. Er zullen nog meer updates volgen in de toekomst, ook bij een up to date ruil exemplaar.
Ben het met je eens dat updates automatisch geïnstalleerd zouden moeten worden.
Met automatisch update heb je boel weliswaar bij de fabrikant gelegd, nadeel: was als de fabrikant gehacked wordt?
Niet automatisch, dan moeten Henk en Ingrid het kunnen afhandelen, een te hoge verwachting .

Als de fabrikant gehackt wordt ben je klaar, ongeacht welk apparaat of software het over gaat.
Henk en Ingrid mogen verwachten dat als ze een apparaat kopen dat dit automatisch up to date gehouden wordt. Het is een consumenten router.

De huidige praktijk is dat elk huishouden eigenlijk iemand moet hebben die een beetje verstand van zaken heeft.
21-10-2017, 21:14 door Anoniem
Door karma4:
Door Anoniem:
Klopt maar daarom hoeft ie nog niet terug naar de winkel. Er zullen nog meer updates volgen in de toekomst, ook bij een up to date ruil exemplaar.
Ben het met je eens dat updates automatisch geïnstalleerd zouden moeten worden.
Met automatisch update heb je boel weliswaar bij de fabrikant gelegd, nadeel: was als de fabrikant gehacked wordt?
Ja, wat als.
Zo kan je elke discussie wel naar je hand zetten, als de fabrikant, of haar toeleveranciers, of je provider, Nederland, of het internet, of je devices of je router of zelfs je pacemaker gehackt wordt?
Ja dan heb je pech maar het is geen redelijk argument tegen het principe standaard instellingen zo te zetten dat een apparaat bij aansluiten direct op zoek gaat naar updates.

Niet automatisch, dan moeten Henk en Ingrid het kunnen afhandelen, een te hoge verwachting .
Henk en Ingrid zijn een politiek duo en hebben geen betekenis in deze context.
Want in tegenstelling tot wat je suggereert hoeven Henk en Ingrid niet per definitie dom te zijn, of nalatig, of technisch niet onderlegd en de gemiddelde burgers vertegenwoordigen ze ook al niet.
Wat als de pvv aanhang massaal (Henk en Ingrid dus) wordt gehackt?
Ja dan verandert misschien het politieke landschap in de beide vertegenwoordigende kamers wel.
Maar of dat een reële zorg is binnen deze discussie, dacht het niet.

Dit soort argumenten opvoeren is discussiëren om het discussiëren, dat schiet niet op.
As is verbrande turf zei men vroeger, dat is ruim voordat Henk en Ingrid ten tonele verschenen en nog steeds een waarheid als een koe.
21-10-2017, 21:34 door Anoniem
Door karma4:
Door Anoniem:
Klopt maar daarom hoeft ie nog niet terug naar de winkel. Er zullen nog meer updates volgen in de toekomst, ook bij een up to date ruil exemplaar.
Ben het met je eens dat updates automatisch geïnstalleerd zouden moeten worden.
Met automatisch update heb je boel weliswaar bij de fabrikant gelegd, nadeel: was als de fabrikant gehacked wordt?

Oh, jij gaat alle updates zelf vooraf controleren voordat je ze installeerd?
Het enige verschil tussen automatisch en handmatig is het tijdstip van installatie, jij bent er voorstander van dat e.e.a. snel gepatched wordt getuige je eerste opmerking.

Karma4, ik snap echt geen reet meer van jouw argumenten en tegen argumenten op je eigen argumenten,
21-10-2017, 22:57 door Anoniem
Helaas, Henk en Ingrid hebben geleerd om altijd Tor-browser te gebruiken om hun privacy te beschermen,
en kunnen nu de nieuwe firmware update voor hun WR940N niet downloaden van de TP-link website!

Het zou zo te zien moeten lopen via het akamai distributienetwerk, maar akamai doet blijkbaar niet veel 'blablabla' met Tor.
22-10-2017, 08:44 door Anoniem
Door Anoniem: Helaas, Henk en Ingrid hebben geleerd om altijd Tor-browser te gebruiken om hun privacy te beschermen,
en kunnen nu de nieuwe firmware update voor hun WR940N niet downloaden van de TP-link website!

Het zou zo te zien moeten lopen via het akamai distributienetwerk, maar akamai doet blijkbaar niet veel 'blablabla' met Tor.

Scherp opgemerkt:

www.tp-link.com uses an invalid security certificate. The certificate is only valid for the following names: *.akamaized.net, *.akamaihd-staging.net, *.akamaized-staging.net, *.akamaihd.net, a248.e.akamai.net
22-10-2017, 08:56 door karma4
Door Anoniem:
Oh, jij gaat alle updates zelf vooraf controleren voordat je ze installeerd?
Het enige verschil tussen automatisch en handmatig is het tijdstip van installatie, jij bent er voorstander van dat e.e.a. snel gepatched wordt getuige je eerste opmerking.

Karma4, ik snap echt geen reet meer van jouw argumenten en tegen argumenten op je eigen argumenten,

Hat gaat er om keuzes te maken.
1/ Thuis soho
Als we voor thuisgebruik accepteren dat de leverancier gehackt kan worden. Dan is dat het te accepteren risico. Lijkt me een prima keus onder de voorwaarde dat de impact te overzien valt. Ja ik ben daar voorstander van.

2/ Enterprise
In een meer kritische omgeving (infrastructuur, privacy gevoelige gegevens) en juist die plekken waar het er echt toe doet beslist niet alles open en bloot naar externe dienstverleners en ook niet zo maar upgraden. Alles gecontroleerd en overwogen naar het risico en de impact.
Als een bedrijf voor extern gasgebruik zonder enige verbinding directe met het bedrijfsnetwerk wat van dat spul opgeteld heeft dan is dat een aparte risico klasse wat zo dan weer mag.

....
Ik reageerde op de opmerking in het artikel dat het probleem opgelost was want de fabrikant heeft de software aangepast. Met het heen en weer draaien probeerde ik te onderbouwen dat over alle al gemaakte apparaten niets gezegd is.
22-10-2017, 12:45 door Briolet - Bijgewerkt: 22-10-2017, 13:00
Door Anoniem:Scherp opgemerkt:

www.tp-link.com uses an invalid security certificate.

Ja en nee. Dit heeft in elk geval niets met Tor-browser te maken. Ze gebruiken gewoon een fout certificaat waar alle browsers over horen te klagen. En volgens mij zullen ze dat ook allemaal doen als je bovenstaande patch-link aanklikt of überhaupt hun website via https benadert. Zo niet, stoppen met je browser.

Toevoeging: Dezelfde https link staat in het blog van de onderzoeker. Vreemd dat noch hij, noch de redactie opgevallen is dat die link van een foutief certificaat voorzien is. Zeker van de onderzoeker had ik dan op zijn minst een sterretje met commentaar bij die link verwacht.
22-10-2017, 13:09 door Anoniem
Door Anoniem: Best wel treurig dat je er standaard vanuit kan gaan dat al je apparatuur lek is en dat veiligheidsdiensten en schimmige bedrijven met grote budgetten vaak eerder de lekken kennen en kunnen misbruiken dan dat beveiligingsonderzoekers (met lagere budgetten) ze vinden. Laatst was Netgear ook al flink aan de beurt.. https://www.vpngids.nl/nieuws/beveiligingslek-netgear-routers/

Niks nieuws, regeringen willen graag controle houden over het volk. Dat systeem is bijna zou oud als de mensheid. Vroeger deden ze dat door het volk dom te houden, nu misbruiken ze elektronica en computers.
22-10-2017, 15:50 door Anoniem
Door Anoniem: Helaas, Henk en Ingrid hebben geleerd om altijd Tor-browser te gebruiken om hun privacy te beschermen,

Je TROLLT
Henk en ingrid zijn een uitvindsel van de pvv en de pvv stemde voor de tapwet en die schendt je privacy.
Daaruit kan je best concluderen dat de pvv en aanhang niets heeft met privacy en dus niets met Torbrowser.

Wie wel tegen de WiV wet was was het forum voor democratie, die partij met een grote online aanhanng. De geen stylers waren verklaard tegenstander van de wet.
Alleen, henk en ingrid zijn NIET van het forum van democratie en stijllozen maar een uitvindsel van de pvv. De namen zijn hier misplaatst gebruikt door een kennelijke propageerder van de pvv en jij trapte erin met een onzinnig fout voorbeeld als gevolg.

Waar kwam die info vandaan, bijvoorbeeld hier : https://www.volkskrant.nl/kijkverder/2017/sleepnet/

en kunnen nu de nieuwe firmware update voor hun WR940N niet downloaden van de TP-link website!

Het zou zo te zien moeten lopen via het akamai distributienetwerk, maar akamai doet blijkbaar niet veel 'blablabla' met Tor.
Akamai en Cloudflare hebben filters die je zelf kan instellen, veel afnemers van die diensten doen niets of schuiven de schuif maar dom omhoog tot maximaal blokkeren.

Maar als ik de "(www.)tp-link.com" link bezoek zie ik helemaal geen ssl verbinding, dus ook geen certificaat. Maak niet uit via welke exitnode in welk land, tp link past wel op diverse manieren haar url aan naar countrycode maar schotelt geen slotjes voor (oa tp-link.com/download-center.html).
Geen certificaat, geen last ook van Cloudflare of Akamai blokkades, en ook geen redirect naar een onjuist geconfigureerde ssl variant van deze website.
Er bestaat inderdaad een https versie maar daar kom je dus niet zomaar omdat er geen redirect plaatsvindt en je standaard op de http variant belandt als je tp-link.com in je url bar paste.

Terug naar HTTP, een firmware update binnenhalen over een onbeveiligde verbinding is geen goed idee, dus ook niet via Torbrowser.
Maar waarom zou je dat via de browser doen, dat kan je router toch gewoon zelf direct?
Misschien ben je in de war en dacht je dat het een goede privacy optie is om via Torbrowser in te loggen op je modem?
Hoeft niet, het proces van lokaal inloggen op je modem is een lokale connectie, die connectie loopt niet via het internet.
Gebruik van Torbrowser om op je modem in te loggen voegt niets toe, als het al kan.

Kortom, getroll met gezwam om onnodige discussie over Torbrowser uit te lokken.
Het is wel raak de laatste tijd met dat geklier.
22-10-2017, 16:31 door Anoniem
Door Anoniem:
Door Anoniem: Helaas, Henk en Ingrid hebben geleerd om altijd Tor-browser te gebruiken om hun privacy te beschermen,
en kunnen nu de nieuwe firmware update voor hun WR940N niet downloaden van de TP-link website!

Het zou zo te zien moeten lopen via het akamai distributienetwerk, maar akamai doet blijkbaar niet veel 'blablabla' met Tor.

Scherp opgemerkt:

www.tp-link.com uses an invalid security certificate. The certificate is only valid for the following names: *.akamaized.net, *.akamaihd-staging.net, *.akamaized-staging.net, *.akamaihd.net, a248.e.akamai.net

Ach het gebrek van https is nog wel te overzien als er maar checksum zijn... euh.. tp-link.. waar zijn de checksums?

Misschien een idee voor een 'extra' nieuwsbericht: "Security.nl lezers ontdekken meerdere ernstige lekken in de TP-Link supportsite. Geen van de te downloaden firmwares zijn te vertrouwen." Zonde van dat snelle patchwerk, als ik daarna niet zeker kan stellen dat wat ik download ook echt daadwerkelijk van TP-Link afkomstig is.

(Sorry dat ik nu zo loop te zuigen, ik vind TP-Link echt wel een sympathieke underdog, maar uit dit soort dingen blijkt toch nog wel de onvolwassenheid.)
22-10-2017, 17:02 door Anoniem
Door Anoniem:
Door Anoniem: Helaas, Henk en Ingrid hebben geleerd om altijd Tor-browser te gebruiken om hun privacy te beschermen,

Je TROLLT
Henk en ingrid zijn een uitvindsel van de pvv en de pvv stemde voor de tapwet en die schendt je privacy.
Daaruit kan je best concluderen dat de pvv en aanhang niets heeft met privacy en dus niets met Torbrowser.
Andere anoniem hier. Neem het niet zo hoog op, Henk en Ingrid werden genoemd als typering van doorsnee mensen van wie je niet teveel computerkennis moet verwachten, en iemand geeft daar een draai aan. Ze hadden het niet over politieke partijen en waar die voor staan.

Uiteindelijk zijn Henk en Ingrid eeuwenoude namen die door niemand die nu nog in leven is uit zijn gevonden. Er zijn ongetwijfeld diverse stellen die echt zo heten in Nederland. Niemand heeft het alleenrecht erop.
22-10-2017, 18:10 door Anoniem
Door Briolet:
Door Anoniem:Scherp opgemerkt:

www.tp-link.com uses an invalid security certificate.

Ja en nee. Dit heeft in elk geval niets met Tor-browser te maken. Ze gebruiken gewoon een fout certificaat waar alle browsers over horen te klagen. En volgens mij zullen ze dat ook allemaal doen als je bovenstaande patch-link aanklikt of überhaupt hun website via https benadert. Zo niet, stoppen met je browser.

Toevoeging: Dezelfde https link staat in het blog van de onderzoeker. Vreemd dat noch hij, noch de redactie opgevallen is dat die link van een foutief certificaat voorzien is. Zeker van de onderzoeker had ik dan op zijn minst een sterretje met commentaar bij die link verwacht.

Als je Akamai kent als een Cloudservice/CDN dan herken je het certificaat ook wel ongeveer.
Dat komt doordat ze niet zomaar andermans certificaat correct kunnen showen zonder gebruik te maken van de geheime sleutel. Cloudflare haalt daar een vervaarlijke truuk mee uit, en we kunnen alleen maar "blij" zijn dat Akamai dit blijkbaar niet doet. Nadeel is dan wel dat je dus een certificaat van Akamai krijgt voor geschoteld, en niet van TP-link, want het juiste certificaat van TP-link kunnen ze niet showen, net zoals iedere MITM niet zondermeer een willekeurig certificaat kan showen van de website die hij (vals) probeert te vertegenwoordigen.

Het ware probleem is dan ook dat wanneer je een uitzondering ("exception") maakt in je Torbrowser dit opnieuw stuk loopt. Je krijgt na het maken van een "exception" en vervolgens "confirm" de vogende foutmelding:
An error occurred while processing your request.
met daaronder alleen een referentienummer eronder en verder helemaal niets.

Je kunt TP-link dus totaal niet via Tor-browser en https bereiken.
Http heb ik niet geprobeerd. Lijkt me ook niet aan te bevelen.
23-10-2017, 13:32 door hanspaint
In de firmware van de Synology routers SRM 1.1.5-6542-3 is dit opgelost.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.