De beveiliging van routers voor eindgebruikers laat ernstig te wensen over. De apparaten zitten vol bekende kwetsbaarheden, maken vaak gebruik van hard-coded wachtwoorden en ontvangen lange tijd geen beveiligingsupdates, zo blijkt uit onderzoek van het Fraunhofer Institute for Communication, Information Processing and Ergonomics FKIE (pdf).
Voor het onderzoek werden 127 routers van zeven grote leveranciers onderzocht. De onderzoekers hadden zich van tevoren vijf onderzoeksvragen gesteld: wanneer was het apparaat voor het laatst geüpdatet, welke OS-versie werd er gebruikt en hoeveel bekende kwetsbaarheden zijn hierin aanwezig, welke exploitmitigatietechnieken zijn er toegepast, bevatten de firmware-images privésleutels en wordt er van hard-coded wachtwoorden gebruikgemaakt.
De onderzoekers noemen de resultaten alarmerend. Elke router bleek meerdere kwetsbaarheden te bevatten. 46 routers hadden al meer dan een jaar geen beveiligingsupdate ontvangen. In veel routers waren honderden bekende beveiligingslekken aanwezig en zelfs wanneer routers werden geüpdatet, werden veel van deze bekende kwetsbaarheden niet verholpen.
Tevens blijkt dat routerfabrikanten zelden technieken toepassen die misbruik van kwetsbaarheden moeten voorkomen of bemoeilijken en maakt een aanzienlijk deel gebruik van hard-coded wachtwoorden. De onderzoekers stellen dat fabrikant AVM het beter doet dan de andere leveranciers als het om security gaat, maar ook in de apparaten van AVM werden problemen aangetroffen. Verder doen Asus en Netgear het op sommige aspecten beter dan D-Link, Linksys en TP-Link. De zevende fabrikant die werd getest was Zyxel.
Het grootste deel van de onderzochte routers draait op Linux (91 procent). Een probleem is echter dat het vaak om oudere versies gaat. Zo gebruikt meer dan een derde van de routers Linux-kernel versie 2.6.36 of ouder. De laatste update voor 2.6.36 verscheen in februari 2011. Dit zorgt ervoor dat de routers vaak tal van kwetsbaarheden bevatten. De "beste" routers hadden tenminste 21 kritieke kwetsbaarheden en 348 beveiligingslekken die als "high" waren beoordeeld. Gemiddeld bevatten de routers 53 ernstige beveiligingslekken. De meeste kwetsbaarheden met het stempel high worden in de Linksys WRT54G aangetroffen, namelijk 579.
Een ander onderdeel van het onderzoek richtte zich op de aanwezigheid van hard-coded wachtwoorden. Dit zijn wachtwoorden die meestal niet door de gebruiker zijn te wijzigen, voor elk product hetzelfde zijn en niet zomaar door systeembeheerders zijn uit te schakelen.
Het beruchte Mirai-botnet maakte gebruik van hard-coded Telnet-wachtwoorden om honderdduizenden IoT-apparaten te compromitteren. Ondanks het risico van dergelijke wachtwoorden vonden de onderzoekers in vijftig routers hard-coded wachtwoorden. Daarnaast bleken zestien routers eenvoudig te raden of bekende wachtwoorden te bevatten. Alleen in de firmware-images van Asus werden geen hard-coded wachtwoorden aangetroffen.
Daarnaast zochten de onderzoekers naar de aanwezigheid van privésleutels , die bijvoorbeeld voor het signeren van data worden gebruikt of voor het beveiligen van de communicatie. De aanwezigheid van een privésleutel in de firmware is een risico, aangezien een aanvaller hiermee het apparaat kan nabootsen en man-in-the-middle-aanvallen kan uitvoeren, aldus de onderzoekers. Alleen op AVM na werden er in de firmware van alle fabrikanten privésleutels aangetroffen. Gemiddeld gaat het om vijf sleutels per firmware-image. De Netgear R6800 spant met dertien privésleutels op één apparaat de kroon.
"Samengevat laat ons onderzoek zien dat er geen enkele router zonder kwetsbaarheden is en geen enkele leverancier het op alle securityvlakken perfect doet. Er moet veel meer worden gedaan om thuisrouters net zo veilig als huidige desktops en servers te maken", zo concluderen de onderzoekers.
Deze posting is gelocked. Reageren is niet meer mogelijk.