Draadloze routers kwetsbaar door firmware-lek
Een beveiligingslek in DD-WRT, opensource firmware voor verschillende draadloze routers, geeft een aanvaller de mogelijkheid om op afstand het apparaat over te nemen. Het op Linux-gebaseerde DD-WRT biedt gebruikers meer opties dan de standaard firmware. Het is op de apparaten van bekende fabrikanten te installeren, zoals Linksys, D-Link, Buffalo en Netgear. Om toegang tot de router te krijgen hoeft een aanvaller het slachtoffer alleen naar een website te lokken. Vervolgens kan de aanvaller dan via de webinterface het apparaat overnemen. "Een vreemd lek dat je eigenlijk niet in 2009 hoort te zien. Behoorlijk pijnlijk al zeg ik het zelf", aldus gat3way, die een exploit voor het lek online zette.
Full-disclosure
Volgens een gebruiker op het DD-WRT forum is het probleem veroorzaakt door slechte keuzes in het ontwerp van de software. De kwetsbaarheid zit in de hyper text transfer protocol daemon van DD-WRT, die als root draait. Omdat de httpd de input van gebruikers niet goed controleert, is het kwetsbaar voor 'remote command injectie'. De httpd is normaal niet voor aanvallers vanaf buiten bereikbaar, maar via CSRF (cross-site request forgery) is dit te omzeilen. Inmiddels is er een update beschikbaar gekomen. "Weet dat deze exploit was gepubliceerd zonder ons in te lichten", zegt DD-WRT ontwikkelaar Sebastian Gottschall.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.