image

IoT-malware infecteert TP-Link wifi-routers via kwetsbaarheid in pingfunctie

donderdag 9 december 2021, 13:02 door Redactie, 5 reacties

Onderzoekers hebben IoT-malware ontdekt die TP-Link wifi-routers via een kwetsbaarheid in de pingfunctie infecteert. TP-Link bracht vorige maand een beveiligingsupdate uit, maar maakt nergens in de beschrijving melding van de kwetsbaarheid. Tien dagen na het uitkomen van de firmware-update werden de eerste aanvallen waargenomen die misbruik van het beveiligingslek maken.

De kwetsbaarheid is aanwezig in versie vijf van de TL-WR840N-router. De diagnostische pagina van de router biedt de mogelijkheid om een ip-adres of domeinnaam te pingen. De invoer in het invoerveld van de pingfunctie wordt niet goed gecontroleerd, waardoor het mogelijk is om commando's uit te voeren. Bij de nu waargenomen aanvallen wordt het beveiligingslek gebruikt om de router een script te laten uitvoeren dat vervolgens de malware downloadt.

Beveiligingsonderzoeker Kamillo Matek meldde het beveiligingslek (CVE-2021-41653) op 20 september aan TP-Link. De fabrikant kwam op 12 november met de firmware-update, maar laat in de beschrijving nergens duidelijk merken dat de patch een kwetsbaarheid verhelpt. Er staat alleen: "Aanpassingen en bugfixes. Verbetert beveiliging apparaat."

De aanval is alleen door een geauthenticeerde aanvaller uit te voeren die toegang tot de router heeft. Dat lijkt echter geen hindernis, want tien dagen na het verschijnen van de firmware-update maakt de Manga-malware misbruik van de kwetsbaarheid, aldus securitybedrijf Fortinet. "Het is daarom cruciaal dat gebruikers hun standaardwachtwoord wijzigen", zegt onderzoeker Joie Salvio.

Image

Image

Reacties (5)
09-12-2021, 14:27 door Anoniem
TP-Link heeft dus geen ondersteuning meer voor mijn Archer router.

Wordt tijd voor DD-WRT of iets dergelijks. Hopelijk heeft die wél optie voor het maken van VLANS.
09-12-2021, 16:27 door Anoniem
Door Anoniem: TP-Link heeft dus geen ondersteuning meer voor mijn Archer router.

Wordt tijd voor DD-WRT of iets dergelijks. Hopelijk heeft die wél optie voor het maken van VLANS.

0,0004 ms zoektijd in DDG:
https://blog.flashrouters.com/2021/09/29/how-to-config-a-ddwrt-vlan-setup/
09-12-2021, 18:54 door Anoniem
Door Anoniem:
Door Anoniem: TP-Link heeft dus geen ondersteuning meer voor mijn Archer router.

Wordt tijd voor DD-WRT of iets dergelijks. Hopelijk heeft die wél optie voor het maken van VLANS.

0,0004 ms zoektijd in DDG:
https://blog.flashrouters.com/2021/09/29/how-to-config-a-ddwrt-vlan-setup/

Wat is het Internet toch mooi he dat je zomaar dingen kunt vinden en dat dat zo snel gaat. Maar hoe krijg je het antwoord in 0,4 microseconden?
11-12-2021, 21:20 door Anoniem
De diagnostic tools pagina bevindt zich in de setup.
Er zitten meerdere beveiligingen in deze router om onbevoegden uit de setup te weren.
Ten eerste moet men inlognaam en wachtwoord weten. (daarom niet de standaard instellingen gebruiken, want die weet iedereen)

Een tweede beveiliging is dat men in "security" -> "local management" kan instellen vanaf welk MAC-adres er kan worden ingelogd in de setup. Het kan een goed idee zijn om speciaal een los apparaat of netwerkkaart te gebruiken voor instellen van setups, en het MAC-adres van dit losse apparaat in te stellen in "security -> local management".
Het wordt dan wel heel erg lastig voor om op afstand via het netwerk of d.m.v. malware nog in de setup van de router te komen.
12-12-2021, 16:56 door Anoniem
TP-link behoort tot het kransje prijsbrekers waarvoor te weinig security-fixes verschijnen. Het wordt hoogtijd om de fabrikanten te dwingen om ondersteuning te bieden voor langere termijnen dan nu het geval is!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.