Nieuws
image

Routers met MIPS-processor afgeraden wegens security

donderdag 20 december 2018, 16:04 door Redactie, 3 reacties

Wie een router zoekt moet controleren dat die geen MIPS-processor bevat. Meerdere populaire routers met een dergelijke processor zijn door een bug in een bepaalde Linuxkernel minder veilig en zouden daarom moeten worden vermeden. Daarnaast blijkt ook de beveiliging bij andere modellen tekort te schieten.

Dat stellen onderzoekers van Cyber-ITL op basis van eigen onderzoek naar 28 routers van Asus, D-Link, Linksys, Netgear, Synology, TP-Link en Trendnet. Het gaat om routers die op ARM- en MIPS-processoren zijn gebaseerd. Om misbruik van kwetsbaarheden lastiger te maken kunnen ontwikkelaars verschillende maatregelen nemen, zoals address space layout randomization (ASLR), data execution prevention (DEP) en relocation read-only (RELRO).

De routerfabrikanten blijken deze maatregelen nauwelijks in hun op Linux-gebaseerde router-firmware toe te passen, ook al ondersteunt Linux deze beveiligingsmaatregelen al zeer lang. Met name bij de routers die over een MIPS-processor beschikken gaat het mis. De MIPS-Linuxkernels van 2001 tot 2016 bevatten namelijk een bug waardoor stack based execution voor userland-processen wordt ingeschakeld.

In 2016 verscheen een patch voor de MIPS-Linuxkernel om non-executable stacks in Linux MIPS mogelijk te maken. De patch geeft aanvallers echter de mogelijkheid om zowel ALSR als DEP te omzeilen. Het probleem is nog steeds in de MIPS-Linuxkernel aanwezig. De onderzoekers merken op dat de impact hiervan op het moment nog niet groot is, aangezien de routerfabrikanten nauwelijks nog van ALSR en DEP gebruikmaken.

Gebruikers die een router zoeken krijgen wel het advies om apparaten met een MIPS-processor te vermijden, aangezien de problemen met deze architectuur nog wel enige tijd zullen aanhouden. "Gegeven de keuze tussen een Linux-gebaseerde router die op een ARM- of MIPS-processor draait, denken we dat een gebruiker statistisch meer bescherming geniet door een ARM-gebaseerd Linuxsysteem te kiezen." Aanvullend merken de onderzoekers op dat de veiligheid van routers ook tussen modellen van dezelfde fabrikant flink kan verschillen.

Image

Reacties (3)
20-12-2018, 17:56 door Anoniem
En ik zie het 2de probleem al: sommige van de routers die in de lijst staan hebben zelfs ook geen open source firmware support zoals openwrt. Best wel beangstigend als je dit artikel leest en je ziet je router in de lijst en je hebt geen opensource firmware. Dan is er nog maar 1 oplossing: nieuwe router kopen.
20-12-2018, 19:20 door Anoniem
Dus omdat er een defect in de software zit, dan maar liever de hardware niet gebruiken?

Wat een logica weer. Lijkt deze keer een faliekante faal van de Redactie te zijn en niet van deze veren-in-eigen-reedt-tent met security-aspiraties.

Dat ze wat al te buzzworderig zijn is wel duidelijk. Zo staan ze op ASLR maar die HTK-NATroutertjes hebben over het algemeen veel te weinig geheugen of zelfs adresruimte om dat goed z'n werk te laten doen, en is dus op zichzelf al overkoombaar.
23-12-2018, 21:45 door Anoniem
Door Anoniem: En ik zie het 2de probleem al: sommige van de routers die in de lijst staan hebben zelfs ook geen open source firmware support zoals openwrt. Best wel beangstigend als je dit artikel leest en je ziet je router in de lijst en je hebt geen opensource firmware. Dan is er nog maar 1 oplossing: nieuwe router kopen.
Helaas weer een niet-zinnige opmerking van een " open source" adept. Voor de meeste gebruikers is dit geen optie, ze snappen niet wat ze doen. Voor deze mensen heeft het zin om bij de fabrikanten ween nieuwe firmware of eenomruilactie te eisen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search