Asus roept gebruikers op om kritieke router-kwetsbaarheden snel te patchen
Asus heeft gebruikers van verschillende modellen wifi-routers opgeroepen om nieuwe firmware, die meerdere kritieke kwetsbaarheden verhelpt, zo snel mogelijk te installeren. Gebruikers die ervoor kiezen de firmware-update niet te installeren wordt aangeraden om services die toegankelijk vanaf de WAN-kant zijn uit te schakelen. Het gaat dan om zaken als remote access, port forwarding, DDNS, vpn-server, DMZ en port trigger, aldus Asus.
In totaal zijn er voor negentien modellen updates verschenen. Die verhelpen meerdere kwetsbaarheden, waarvan er negen een CVE-nummer hebben gekregen. Het gaat onder andere om CVE-2018-1160 , een uit 2000 stammende kwetsbaarheid in Netatalk waarvoor de ontwikkelaar al in 2018 een beveiligingsupdate uitbracht. Via deze kwetsbaarheid is remote code execution mogelijk en kan een aanvaller kwetsbare routers overnemen. Ook een ander beveiligingslek (CVE-2022-26376) in het Asuswrt-besturingssysteem is als kritiek aangemerkt.
Naast het verhelpen van de kwetsbaarheden zijn er ook verschillende beveiligingsverbeteringen doorgevoerd, onder andere voor het beveiligen van inloggegevens en firmware-updates die "over the air" (OTA) worden aangeboden. De firmware-updates zijn beschikbaar voor de GT6, GT-AXE16000, GT-AXE11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, ZenWiFi XT9, ZenWiFi XT8, ZenWiFi XT8_V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 en TUF-AX5400.
dan komen er ineens geen updates meer voor.
Probeer een router te kiezen waarbij de fabrikant firmware uitbrengt voor een hele reeks types, waarbij dezelfde firmware
zowel op oude als nieuwe devices gebruikt wordt. Dan heb je veel langer support van je router.
(houdt ook wel een keer op, als je router bijv te weinig geheugen of CPU capaciteit heeft voor de in de loop der tijd
toenemende eisen van zowel de software als de gebruiker, maar je bent dan beter geborgd dan wanneer het stoppen
van de firmware support helemaal bij de fabrikant ligt. wellicht stel je niet zo'n hoge eisen aan de snelheid, bijvoorbeeld)
(behalve de firewall, die moet maximaal aan staan, natuurlijk)
Als je enkel aanzet wat je daadwerkelijk nodig hebt, en dat meteen configureert, zit het apparaat al zo dicht mogelijk.
Dan wanneer er een lek voorbij komt, is het risico dat mensen kwetsbaar zijn daarvoor een stuk minder groot.
En als we dan meteen al bezig zijn, zet dan standaard enkel IPv6 aan en IPv4 uit? :-)
Kunnen de IT beheerders ook meteen IPv6 leren en IPv4 verbannen van hun netwerken...
Probleem met de overgang naar IPv6:
Eindgebruikers: "het internet werkt toch nog gewoon?"
ISP's: "Wij leveren geen IPv6 omdat het internet nog steeds via IPv4 bereikbaar is"
Website beheerders: "Iedereen gebruikt toch nog IPv4, dus waarom moeite doen?"
:-(
Dan zet je daar OpenWRT op en ga je vrolijk verder.
Als ik een router koop of aanbeveel kijk ik altijd of er een opensource variant voor beschikbaar is, juist om te voorkomen dat ik afhankelijk ben van de patch grillen van een leverancier.
Om mee te doen aan de verspillingsmaatschappij? Het verhaal is anders als je nieuwe functionaliteit (WiFI 6 o.i.d.) mist maar anders zet je er toch een opensource variant op?
Dan zet je daar OpenWRT op en ga je vrolijk verder.
Voor Asus heb je Merlin: https://www.asuswrt-merlin.net/
Om mee te doen aan de verspillingsmaatschappij? Het verhaal is anders als je nieuwe functionaliteit (WiFI 6 o.i.d.) mist maar anders zet je er toch een opensource variant op?
Dan zet je daar OpenWRT op en ga je vrolijk verder.
Voor Asus heb je Merlin: https://www.asuswrt-merlin.net/
Als Asus geen updates voor de router uitbrengt dan doet Merlin dat ook al snel niet meer. Ik heb zelf op een RT-N66U Merling gehad maar EOL terwijl OpenWRT vrolijk verder gaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
