Asus-routers kwetsbaar voor aanvallen door ontwerpfout
Wifi-routers van Asus bevatten een ontwerpfout waardoor gebruikers denken dat de apparaten voor het internet zijn afgeschermd, terwijl dit niet zo is. Dat meldt onderzoeker David Longenecker. De routers bieden gebruikers de mogelijkheid om het beheerderspaneel toegankelijk via internet te maken.
Een risicovolle instelling, omdat aanvallers op deze manier kunnen proberen om op de router in te loggen. Standaard staat deze optie uitgeschakeld en is het apparaat alleen toegankelijk vanaf het lokale netwerk. Een ontwerpfout in het beheerderspaneel zorgt er echter voor dat het paneel nog steeds toegankelijk via internet is, ook al staat de optie ingesteld dat dit niet mogelijk moet zijn.
De wifi-routers beschikken namelijk ook over een firewall. De firewall-instelling blijkt de instelling voor internettoegang tot het beheerderspaneel te overstemmen. Als gebruikers zowel internettoegang tot het beheerderspaneel als de firewall hebben uitgeschakeld, is het paneel alsnog toegankelijk via internet. Daarbij krijgen gebruikers geen waarschuwing te zien dat anderen op de router kunnen proberen in te loggen. Alleen als de firewall ook staat ingeschakeld is het beheerderspaneel afgeschermd.
Een aanvaller moet nog steeds het ip-adres van de router weten en het wachtwoord zien te achterhalen om in te loggen. Toch vormt het een beveiligingsrisico, mede omdat gebruikers denken dat ze veilig zijn, aldus de onderzoeker. Gebruikers krijgen dan ook het advies om beide instellingen te controleren. Meer dan 135.000 Asus-routers zijn via internet toegankelijk, waarvan 15.000 gebruikers dachten dat ze veilig waren omdat ze specifieke beveiligingsinstellingen hadden ingeschakeld, aldus Longenecker. Het probleem speelt bij Asus-router met de AsusWRT-firmware.
Dat zal Asus ook wel doen denk ik nu ze op de hoogte van dat lek zijn.
een firewall heeft als basisfundtie .... juist ja (verkeer van buiten naar binnen afschermen). Er was ooit een verhaal dat je en kat niet in een magnetron moet drogen. Kan het beest niet tegen. Zoiets kon wel op de houtkachel.
een firewall heeft als basisfundtie .... juist ja (verkeer van buiten naar binnen afschermen). Er was ooit een verhaal dat je en kat niet in een magnetron moet drogen. Kan het beest niet tegen. Zoiets kon wel op de houtkachel.
Als je een vinkje ergens kunt zetten voor wel/niet beheer van buitenaf dan verwacht je dat daarmee het bind address van
de management poort wordt ingesteld. Geen beheer van buitenaf = bind naar het LAN adres, wel beheer van buitenaf
betekent bind naar 0.0.0.0 of een aparte bind naar LAN en WAN adres.
Met de firewall heeft dat verder niks te maken, zelfs al staat die wijd open dan verwacht je (in een NAT router) niet dat
er toegang van buitenaf mogelijk is naar een LAN adres. M.a.w. dit is wel degelijk een misleidende en foute situatie.
Als de toegang van buitenaf niet geregeld is met het bind adres maar met de firewall, laat dan ook die misleidende keuze
voor wel/geen extern beheer weg en regel dat met de firewall. Dan snapt iedereen dat die aan moet zijn.
In gevallen waarbij de "firewall-deur" toch eventjes open moet, is het laatste waar ik me druk over maak,
dat met zo'n openstaande deur een attacker misschien wel gaat morrelen aan het slot van die deur... ;-)
Desondanks heeft David gelijk dat het eventueel zou kunnen, en dat dit meestal niet de bedoeling is.
Het kan dus maar beter met een firmware-update gerepareerd worden.
Deze kwetsbaarheid is kennelijk aanwezig in alle Asus routers die "RT" in hun typenaam dragen,
maar kan onder vergelijkbare omstandigheden optreden in alle linux-gebaseerde routers! (dus niet alleen ASUS)
Hier een link om het te kunnen testen: https://www.shodan.io/host/1.1.1.1 (als je shodan tenminste vertrouwt...)
(in plaats van "1.1.1.1" dien je je eigen WAN-IP-adres in te voeren)
Of nooit de firewall disablen. (tegelijk met admin toegang vanaf het web nooit toestaan)
Een sterk username/password helpt niet, als vanwege een disabled firewall er bijv. een keylogger wordt geïnstalleerd
waardoor vervolgens de router-beheerderscredentials gemakkelijk kunnen worden gekopieerd zodra je ze intypt. ;-)
Als remote inloggen onvermijdelijk is, kan men het beste eerst via de lokale interface (indien dit nog niet gedaan is)
hele sterke wachtwoord credentials instellen.
Voor remote toegang dient een beveiligde verbinding te worden toegepast, zoals SSH of HTTPS.
Veel routers kunnen helaas alleen HTTP aan voor remote access, zodat router-beheerderscredentials gemakkelijk
zouden kunnen worden afgeluisterd voor iedereen die de lijn weet af te tappen...
Goeroehoedjes
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.