image

Ruim 47.000 DrayTek-routers in Nederland vanaf internet toegankelijk

dinsdag 30 mei 2023, 09:37 door Redactie, 13 reacties

Ruim 47.000 routers van fabrikant DrayTek met een Nederlands ip-adres zijn vanaf het internet toegankelijk via HTTP of SSH, zo stelt securitybedrijf Censys op basis van een scan. Ook vijfhonderd Zyxel-routers met een Nederlands ip-adres zijn op deze manier vanaf het internet te benaderen. Wereldwijd werden 510.000 "soho-routers" met een publiek toegankelijke HTTP-managementpoort of SSH-service aangetroffen.

Aanleiding voor het onderzoek was berichtgeving van Microsoft en de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse autoriteiten over een groep aanvallers die het op Amerikaanse organisaties in de vitale infrastructuur heeft voorzien. De aanvallers weten volgens Microsoft op een nog onbekende manier via Fortinet FortiGuard-apparaten toegang tot de netwerken van hun slachtoffers te krijgen.

De groep maakt daarnaast gebruik van gecompromitteerde routers en andere "SOHO network edge devices" waarvan de beheerdersinterface via HTTP of SSH vanaf internet toegankelijk is om het eigen verkeer te proxyen. Het gaat om apparaten van fabrikanten Asus, Cisco RV, Draytek Vigor, FatPipe IPVPN/MPVPN/WARP, Fortinet Fortigate, Netgear Prosafe en Zyxel USG-apparaten. Hoe de routers worden gecompromitteerd is ook onbekend, maar het toegankelijk maken van de beheerdersinterface vergroot het aanvalsoppervlak, aldus Censys.

Het bedrijf besloot te kijken hoeveel van de genoemde apparaten vanaf internet via HTTP of SSH te bereiken zijn. Het grootste aantal apparaten betreft routers van fabrikant DrayTek. Van deze routers bevinden zich er 47.666 in Nederland. Censys roept beheerders van deze apparaten op om ervoor te zorgen dat de beheerdersinterface niet vanaf het publieke internet toegankelijk is.

Reacties (13)
30-05-2023, 10:03 door Anoniem
Word het niet tijd om op ISP niveau standaard alles te firewallen totdat je inlogt en aangeeft welke poorten open moeten?
Dan hebben we meteen het hele IoT botnet probleem opgelost.
30-05-2023, 11:11 door buttonius
Door Anoniem: Word het niet tijd om op ISP niveau standaard alles te firewallen totdat je inlogt en aangeeft welke poorten open moeten?
Dan hebben we meteen het hele IoT botnet probleem opgelost.
Een ISP zou dit aan nieuwe klanten kunnen vragen en aan bestaande klanten via een instellingen panel kunnen aanbieden.
Maar ik vrees dat dit een hoop service calls gaat geven omdat, e.g. de smart TV ineens niet meer verbinding kan maken met zijn fabrikant en dan onduidelijke foutmeldingen gaat geven.
30-05-2023, 11:41 door Anoniem
Door buttonius:
Door Anoniem: Word het niet tijd om op ISP niveau standaard alles te firewallen totdat je inlogt en aangeeft welke poorten open moeten?
Dan hebben we meteen het hele IoT botnet probleem opgelost.
Een ISP zou dit aan nieuwe klanten kunnen vragen en aan bestaande klanten via een instellingen panel kunnen aanbieden.
Maar ik vrees dat dit een hoop service calls gaat geven omdat, e.g. de smart TV ineens niet meer verbinding kan maken met zijn fabrikant en dan onduidelijke foutmeldingen gaat geven.
Dat zal meevallen. De pleitbezorging hier is dat het inkomende verkeer geblokkeerd wordt. Iets wat SOHO routertjes standaard al (zouden moeten) doen. Alleen is het zo vreselijk makkelijk om je spulletjes van buitenaf te managen, dus zet je dat vinkje aan om je firewall remote te kunnen managen. Kun je vanuit je werk ook snel even wat aanpassen of controleren, of misschien je ouders te helpen als er iets niet werkt.

Trouwens, HTTPS en SSH, dat is versleuteld, dus, dan is het toch veilig?

Ik zie dan ook niet heel veel heil om het vervolgens op provider niveau af te schermen, want er zullen niet veel mensen zijn die dat vinkje "per ongeluk" aanzetten om vervolgens bij het aanpassen op een self-service pagina van een provider te denken "hmmmm, misschien toch geen goed idee, laat maar..."
30-05-2023, 12:17 door Anoniem
Volgens mij wordt dit probleem alleen maar groter door de vrije modemkeuze die er tegenwoordig is. Beperk je je tot het door de ISP aangeboden modem, dan zijn dit soort dingen eigenlijk altijd wel geregeld.
30-05-2023, 12:22 door Anoniem
Door buttonius:
Door Anoniem: Word het niet tijd om op ISP niveau standaard alles te firewallen totdat je inlogt en aangeeft welke poorten open moeten?
Dan hebben we meteen het hele IoT botnet probleem opgelost.
Een ISP zou dit aan nieuwe klanten kunnen vragen en aan bestaande klanten via een instellingen panel kunnen aanbieden.
Maar ik vrees dat dit een hoop service calls gaat geven omdat, e.g. de smart TV ineens niet meer verbinding kan maken met zijn fabrikant en dan onduidelijke foutmeldingen gaat geven.
Natuurlijk niet! Als je als ISP gewoon alle inkomende connecties naar poort 22,80 en 443 default gaat blokkeren dan
heeft dat geen enkele invloed op smart TV's! Hooguit op een NAS ofzo, maar misschien is dat ook wel beter.

Default dicht en open te zetten via een portal (met duidelijke waarschuwing) is een goed plan. XS4ALL had ook zo'n
soort voorziening.
30-05-2023, 12:35 door Anoniem
Door Anoniem: Word het niet tijd om op ISP niveau standaard alles te firewallen totdat je inlogt en aangeeft welke poorten open moeten?
Dan hebben we meteen het hele IoT botnet probleem opgelost.

Standaard staat dit in draytek ook helemaal niet aan dus dat is bewust.
Daarnaast is er ook niet perse iets mis mee om dit naar het web open te hebben.
30-05-2023, 12:37 door Anoniem
Door buttonius:
Door Anoniem: Word het niet tijd om op ISP niveau standaard alles te firewallen totdat je inlogt en aangeeft welke poorten open moeten?
Dan hebben we meteen het hele IoT botnet probleem opgelost.
Een ISP zou dit aan nieuwe klanten kunnen vragen en aan bestaande klanten via een instellingen panel kunnen aanbieden.
Maar ik vrees dat dit een hoop service calls gaat geven omdat, e.g. de smart TV ineens niet meer verbinding kan maken met zijn fabrikant en dan onduidelijke foutmeldingen gaat geven.
Dit is iets dat XS4All al vele jaren aanbiedt. Misschien al wel een jaar of 10. Aan de hand van profielen staat er poorten aan de buitenkant open. De optie om alles vanaf het internet af te sluiten is er ook.
30-05-2023, 13:34 door Anoniem
Door Anoniem: De pleitbezorging hier is dat het inkomende verkeer geblokkeerd wordt. Iets wat SOHO routertjes standaard al (zouden moeten) doen. Alleen is het zo vreselijk makkelijk om je spulletjes van buitenaf te managen, dus zet je dat vinkje aan om je firewall remote te kunnen managen. Kun je vanuit je werk ook snel even wat aanpassen of controleren, of misschien je ouders te helpen als er iets niet werkt.

Trouwens, HTTPS en SSH, dat is versleuteld, dus, dan is het toch veilig?

Ik neem aan dat je dit toegevoegd hebt als voorbeeld van de denkwijze van een gemiddelde gebruiker.
Want NEE, het feit dat het encrypted is maakt het geen spat veiliger. Wel tegen "meekijken" door je ISP, maar niet
tegen aanvallen door hackers die een lek in de "server"code op de router exploiteren (webserver, ssh server).
30-05-2023, 14:26 door Anoniem
Hoe zorg je ervoor dat oude hardware verdwijnt
dat niet slim (smart) is en zelf te onderhouden valt?

Door het te vervangen door smart,en firmware dat jou'
geen zeggenschap meer geeft over je eigen gekochte product,
dus lastig voor eigen onderhoud en eigen reparatie (right too repair)

Je mag niet klagen of zeuren als je te kritisch bent.

Maar natuurlijk het "argument is veiligheid",daar gaan we toch allemaal voor
nietwaar en het geliefde eco-systeem wat wereldwijd wordt opgezet.

The Matrix
30-05-2023, 19:36 door Anoniem
Door Anoniem:
Door buttonius:
Door Anoniem: Word het niet tijd om op ISP niveau standaard alles te firewallen totdat je inlogt en aangeeft welke poorten open moeten?
Dan hebben we meteen het hele IoT botnet probleem opgelost.
Een ISP zou dit aan nieuwe klanten kunnen vragen en aan bestaande klanten via een instellingen panel kunnen aanbieden.
Maar ik vrees dat dit een hoop service calls gaat geven omdat, e.g. de smart TV ineens niet meer verbinding kan maken met zijn fabrikant en dan onduidelijke foutmeldingen gaat geven.
Dit is iets dat XS4All al vele jaren aanbiedt. Misschien al wel een jaar of 10. Aan de hand van profielen staat er poorten aan de buitenkant open. De optie om alles vanaf het internet af te sluiten is er ook.

En KPN heeft het weer gesloopt en vind dat er “niets veranderd voor de klant”
Als je een rechter bent of kent laat me dan aub weten of ik hier griffiekosten aan kan uitgeven, of is het een onbegonnen zaak?
02-06-2023, 07:38 door Anoniem
@ 30-05-2023, 10:03
L.S.
Toegangkelijkheid vanaf het internet is niet het probleem maar ongeauthoriseerde toegangkelijkheid. En dat lees ik niet in het artikel. Mijn beperkte ervaring met Draytek routers is dat deze management poorten standaard dichtstaan voor managemant vanaf internet en dat je die toegangs authorisatie heel goed kunt instellen met verschillende levels van authorisatie:. (Passwords/Preshared key/2FA/mOTP/External identity server etc. etc.)

Ongeauthoriseerde toegang is daar mee meer een probleem van ondeskundige gebruikers die het een en ander verkeerd instellen.

Er is geen sprake van een digitale snelweg voor iedereen maar van een digitale oceaan met hongerige haaien. Het heeft totaal geen zin de haaien te verbieden maar wel zin om te zorgen dat je geen prooi bent; kinderen in de gaten houden, niet te ver van het strand zwemmen, degelijk vaartuig gebruiken, en degenen die zich wel als prooi (willen) gedragen; eventueel les geven, informeren over haaien maar zeker op een eigen verantwoordlijkheid wijzen.

2cent
05-06-2023, 12:51 door hanspaint
Door Anoniem: Volgens mij wordt dit probleem alleen maar groter door de vrije modemkeuze die er tegenwoordig is. Beperk je je tot het door de ISP aangeboden modem, dan zijn dit soort dingen eigenlijk altijd wel geregeld.

Sorry maar mijn eigen router geeft veel meer beveiligings mogelijkheden mag ook wel want kost meer.
08-09-2023, 00:41 door Anoniem
Door Anoniem: Volgens mij wordt dit probleem alleen maar groter door de vrije modemkeuze die er tegenwoordig is. Beperk je je tot het door de ISP aangeboden modem, dan zijn dit soort dingen eigenlijk altijd wel geregeld.
Meestal niet, het is geen nieuw verschijnsel het komt al veel langer voor. Spaanse KPN heeft er ervaring.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.