image

12 miljoen routers kwetsbaar voor cookie-aanval

vrijdag 19 december 2014, 09:47 door Redactie, 4 reacties

Meer dan 12 miljoen routers van D-Link, Huawei, TP-Link, ZTE, Zyxel en andere fabrikanten zijn kwetsbaar voor een aanval waardoor aanvallers beheerderstoegang kunnen krijgen door alleen een kwaadaardig cookie te versturen. Een aanvaller kan vervolgens het internetverkeer bekijken en proberen om machines die via de overgenomen router verbinding maken met malware te infecteren, zo waarschuwt beveiligingsbedrijf Check Point.

De kwetsbaarheid bevindt zich in een embedded webserver in de routers genaamd RomPager. De webserver is ontwikkeld door Allegrosoft en is volgens Check Point, gezien het aantal machines waarop het draait, één van de populairste webserversoftware op internet. Het lek zou al sinds 2002 in de software aanwezig zijn. Om de kwetsbaarheid te misbruiken hoeft een aanvaller slechts een kwaadaardig HTTP-cookie naar een kwetsbaar apparaat te sturen om beheerderstoegang te krijgen.

In totaal zouden meer dan 200 verschillende routermodellen lek zijn. De getroffen fabrikanten hebben inmiddels aangegeven aan een firmware-update te werken. Het probleem met routers is echter dat ze niet over een automatische updatefunctie beschikken en veel consumenten het apparaat dan ook niet updaten. Technische gebruikers die niet op een update willen wachten hebben volgens het beveiligingsbedrijf de mogelijkheid om alternatieve firmware op de router te installeren en zo de kwetsbaarheid te verhelpen.

Reacties (4)
19-12-2014, 10:28 door Spiff has left the building
Voor de betreffende modellen,
zie de Suspected Vulnerable Model List:
http://mis.fortunecook.ie/misfortune-cookie-suspected-vulnerable.pdf
19-12-2014, 11:15 door PietdeVries - Bijgewerkt: 19-12-2014, 11:20
Ik mis een beetje de attack vector in deze.... De link naar CheckPoint vertelt heel mooi hoe slecht het allemaal is, en dat je vooral hun firewall moet installeren, maar hoe precies een slechterik je router overneemt laten ze een beetje in het midden...

Ik neem aan dat een router met een web-interface aan de WAN kant misbruikt kan worden. Dat zou over het algemeen dicht moeten staan. Dat het doordrukken van een fix via de firmware eigenlijk onbegonnen werk is, daar ben ik het wel mee eens. Routers vallen in de categorie "als het werkt - vooral niet meer aankomen"...

Edit: Tweakers.net heeft er een uitgebreide discussie over:
http://tweakers.net/nieuws/100353/miljoenen-routers-kwetsbaar-voor-aanval-met-gemanipuleerde-cookies.html
19-12-2014, 12:45 door Anoniem
over Netgear Routers e.t.c hoor je nooit wat,maar ja ook daar kunnen misschien lekken zitten in de firmware.
Maar goed op mijn Nighthawk R7000 router heb ik de nieuwste firmware draaien,die Netgear heeft uitgebracht.
19-12-2014, 17:54 door Anoniem
daar zit volgens MIJ de mijne ook bij :(
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.