Nieuws

Meerdere D-Link-routers zonder support bevatten ernstig lek

donderdag 24 oktober 2019, 10:28 door Redactie, 5 reacties

Een ernstig beveiligingslek in niet meer ondersteunde routers van D-Link raakt meer modellen dan in eerste instantie door de fabrikant is gecommuniceerd. Begin deze maand adviseerde D-Link eigenaren van vier routermodellen om een nieuw apparaat aan te schaffen wegens een ernstig beveiligingslek waarvoor geen beveiligingsupdate zal verschijnen.

De routers in kwestie zijn namelijk end-of-life en worden niet meer door de fabrikant met updates ondersteund. Het beveiligingslek, dat door onderzoekers van securitybedrijf Fortinet werd ontdekt, maakt het mogelijk voor een aanvaller om op afstand zonder wachtwoord willekeurige code uit te voeren en volledige controle over het apparaat te krijgen. Op een schaal van 1 tot en met 10 wat betreft de impact van de kwetsbaarheid werd die met een 9,8 beoordeeld. Aangezien er geen update meer uitkomt raadde D-Link verder gebruik van de routers af.

Zowel Fortinet als D-Link lieten weten dat het om de volgende routers ging: DIR-655, DIR-866L, DIR-1565 en DIR-652. Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit meldt nu dat in totaal tien modellen kwetsbaar zijn. Naast de vier eerder genoemde routers gaat het ook om de DIR-855L, DAP-1533, DIR-862L, DIR-615, DIR-835 en DIR-825. Aangezien ook deze modellen niet meer worden ondersteund adviseert het CERT/CC om de apparaten te vervangen door routers die nog wel updates ontvangen.

Programmeur bekent aanval op Amerikaanse klachtensite

Verzekeraar Allianz informeert klanten over datalek

Reacties (5)

24-10-2019, 11:07 door Anoniem

Of alternatieve firmware erop zoals DD-WRT/Open-WRT/Tomato of zo.

24-10-2019, 11:27 door Anoniem

"Begin deze maand adviseerde D-Link eigenaren van vier routermodellen om een nieuw apparaat aan te schaffen ...."

oh echt?
en op welke manier zijn al die eigenaren dan precies op de hoogte gesteld?

nou via:
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10124

aahhh ja natuurlijk... die pagina heeft natuurlijk 100% van de wereldbevolking als start pagina ingesteld... NOT

sjongejongejongejonge

je kan er dus vanuit gaan dat 99,99% van die eigenaren dat bereicht nooit heeft gezien

24-10-2019, 15:23 door Anoniem

Als de "end-of-life" datum niet duidelijk op de doos stond toen je die in je winkelmandje stopte, dan kun je gewoon je geld terug krijgen.

Voor een TV, een CV-ketel, maar ook een auto of een koelkast bestaat volgens mij wel wat jurisprudentie over hoe lang zulke spullen horen mee te gaan. Maar voor zover ik weet over routers (nog) niet.

De fabrikant kan dan volgens mij niet eenzijdig gaan zitten bedenken dat het ineens "end-of-life" tijd is. Ofwel, lazer maar op en koop maar een nieuwe. Geen zin om het op te lossen.

Volgens mij is dat wanprestatie. En is dat geld terug. (Ongeveer dan hè? Hoe het precies juridisch zit weet ik ook niet, maar ik zit warm volgens mij.)

24-10-2019, 19:38 door Anoniem

Vermits het model DIR-615 in de lijst voorkomt vraag ik me af of ook de DIR-635 kwetsbaar is,
De DIR-635 is volgens mij identiek aan de DIR-615 maar bevat een extra Antene en een USB Poort.

De Dir-635 heeft als originele firmware versie 2.21, de DIR-615 kwam met Firmware versie 2.23.
Beide toestellen zijn enkele jaren geleden van de recentste Firmware voorzien, ik heb ze niet opgestart maar heb ze hier als reserve wifi routers liggen.

25-10-2019, 10:08 door Anoniem

Door Anoniem: Als de "end-of-life" datum niet duidelijk op de doos stond toen je die in je winkelmandje stopte, dan kun je gewoon je geld terug krijgen.

Voor een TV, een CV-ketel, maar ook een auto of een koelkast bestaat volgens mij wel wat jurisprudentie over hoe lang zulke spullen horen mee te gaan. Maar voor zover ik weet over routers (nog) niet.

De fabrikant kan dan volgens mij niet eenzijdig gaan zitten bedenken dat het ineens "end-of-life" tijd is. Ofwel, lazer maar op en koop maar een nieuwe. Geen zin om het op te lossen.

Volgens mij is dat wanprestatie. En is dat geld terug. (Ongeveer dan hè? Hoe het precies juridisch zit weet ik ook niet, maar ik zit warm volgens mij.)

Er zijn wel richtlijnen waar consumenten mee worden geadviseerd en waar fabrikanten rekening mee houden, voor routers is dat ongeveer 2-3 jaar: https://www.technieknederland.nl/onze-leden/waar-staan-onze-leden-voor/gebruiksduurverwachting
De EOL van de bovengenoemde routers zijn volgens mij van 2015.
Dit zijn overigens richtlijnen waar niet alleen D-Link mee werkt- alle andere router fabrikanten hanteren dit EOL policy.- dat na een aantal jaar het advies is om routers te vervangen. Feit is dat de cyberaanvallen van tegenwoordig zo complex en geëvolueerd zijn dat dat niet alleen met software meer te patchen is. Ook de hardware zal hiervoor moeten mee evolueren, deze routers zijn dus te oud om daar mee om te kunnen gaan....

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer