image

VS wil automatische updates voor routers en afgeschermde beheerinterface

donderdag 1 februari 2024, 11:20 door Redactie, 8 reacties

De Amerikaanse overheid heeft routerfabrikanten opgeroepen om hun apparaten van automatische updates te voorzien en de beheerinterface standaard voor het internet af te schermen. Aanleiding is een operatie tegen een botnet dat uit besmette Cisco- en Netgear-routers bestond en door de Chinese overheid als springplank zou zijn gebruikt voor het aanvallen van de Amerikaanse vitale infrastructuur. De FBI maakte gisteren bekend dat het de botnet-malware van honderden besmette routers in de VS heeft verwijderd.

"Fabrikanten maken vaak routers die geen automatische updatemogelijkheid en een groot aantal kwetsbaarheden in de beheerinterface hebben, wat deze apparaten kwetsbaar voor aanvallen maakt. Fabrikanten. verergeren deze beveiligingsproblemen door apparaten te maken waarbij de beheerinterface standaard benaderbaar vanaf het publieke internet is, vaak zonder klanten te informeren over deze vaak onveilige configuratie", aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security (pdf).

Volgens het CISA moeten routerfabrikanten dan ook investeren in het beschermen van hun klanten en het publiek. Zo wordt aangeraden om automatisch gesigneerde beveiligingsupdates te installeren, zonder tussenkomst van gebruikers. Tevens moet de beheerinterface standaard alleen vanaf het lokale netwerk toegankelijk zijn. Verder moeten fabrikanten de beheerinterfaces veiliger maken, voor het geval die wel vanaf internet benaderbaar zijn. Als laatste adviseert het CISA om standaard veilige instellingen te gebruiken, die gebruikers handmatig moeten aanpassen. In degelijke gevallen moet een duidelijke waarschuwing verschijnen om gebruikers te ontmoedigen tenzij ze aanvullende maatregelen nemen.

Reacties (8)
01-02-2024, 11:40 door Anoniem
Het is jammer dat een overheid dit moet afdwingen en bedrijven, zeker een Cisco, het niet zelf kan verzinnen om dingen veilig te maken. Dit is geen rocket science.
De beheer interfaces standaard niet op het internet beschikbaar maken is volgens mij regel 1 van gezond verstand gebruiken.
01-02-2024, 11:41 door Anoniem
De leider van Homeland Security is voorgedragen om afgezet te worden (impeached) omdat hij zijn werk niet serieus genoeg neemt.

Automatsche updates kunnrn vanuit de provider gedaan worden dus daar moet CISA aankloppen en daar dwingend optreden. Overigens kan de klant kiezen om dit uit te zetten i.v.m. angst dat CISA of een andere overheidsinstantie daar misbruik van maakt. De overheid is onbetrouwbaar en is vaak gevaarlijker dan crimminelen.

De beheer interface mag nooit standaard openstaan naar buiten en zal alleen via een VPN weer via de binnenzijde (lokaal) benaderd kunnen worden.

O ja, wachtwoord moet net als hier geprint op de router staan en uniek zijn.
01-02-2024, 11:51 door Anoniem
Hahaha... de meest voorkomende problemen zijn niet met die <50 euro kostende china meuk maar met de >> 200 euro kostende VS meuk...

Nu kopen, over 6 tot 18 maanden al end-of-life.... en dan kun je die asbakken die al makkelijk tot 50.000 euro aan licentie gekost hebben nog effe verlengen met een paar maanden...
En als je ze dan open schroeft, blijkt er een aftandse intel te zitten die in mijn chromebook zat van 8 jaar geleden...

Gaat weer zo'n EU-bandenlabel worden denk ik... Alle amerikaanse en europa bandenfabrikanten wilden af van de china bandjes, dus moesten er labels komen waaruit bleek dat de VS en EU banden superieur waren.. bleek dat de china bandjes van 30 euro vaak betere score haalde dan de 250 euro VS/EU bandjes... daar hadden ze dus niet op gerekend...

Tegenwoordig hebben ze dat gefixed door china bandjes standaard 1 categorie lager in te schalen... maar dan nog... laatst gezocht op winter, ehm, SNEEUW banden voor mijn 4x4... was maar 1 EU/VS merk dat een score A haalde op nat grip, dat wat we hier in Nederland het meest hebben, want zodra er 1 vlokje sneeuw valt, ligt er al meer zout op de wegen dan in de dode zee ligt. Dan is het millieu en grondwater ineens niet meer belangrijk. Of de lak van je auto voor wat dat betreft.

Dus gaan we zo'n regel krijgen, zullen we natuurlijk zien dat clubjes als Cisco elke keer ondermaats scoren, maar dat is dan niet erg, of krijgen ZIJ compensatie of dispensatie.. of beide... Tis wel america first, tenzij, dan zie regel 1..
Democratie, want anders krijg je oorlog, tenzij je democratie iets anders wilt dan zij, dan krijg je 'vrijheidsstrijders' (ipv rebellen) en 'lente' ipv coup... en als je niet mee doet, dan krijg je 'freedom fries' en 'liberty cabbage'...
01-02-2024, 12:11 door Anoniem
Handig, zo'n auto-update. Zeker als de NSA, CIA, FBI ofzo later nog eens naar binnen willen.

De vraag is dan eigenlijk... wil je de Chinees of de Amerikaan hebben die mee kijkt?
01-02-2024, 12:15 door Anoniem
Door Anoniem: Hahaha... de meest voorkomende problemen zijn niet met die <50 euro kostende china meuk maar met de >> 200 euro kostende VS meuk...

Nu kopen, over 6 tot 18 maanden al end-of-life.... en dan kun je die asbakken die al makkelijk tot 50.000 euro aan licentie gekost hebben nog effe verlengen met een paar maanden...
En als je ze dan open schroeft, blijkt er een aftandse intel te zitten die in mijn chromebook zat van 8 jaar geleden...

Gaat weer zo'n EU-bandenlabel worden denk ik... Alle amerikaanse en europa bandenfabrikanten wilden af van de china bandjes, dus moesten er labels komen waaruit bleek dat de VS en EU banden superieur waren.. bleek dat de china bandjes van 30 euro vaak betere score haalde dan de 250 euro VS/EU bandjes... daar hadden ze dus niet op gerekend...

Tegenwoordig hebben ze dat gefixed door china bandjes standaard 1 categorie lager in te schalen... maar dan nog... laatst gezocht op winter, ehm, SNEEUW banden voor mijn 4x4... was maar 1 EU/VS merk dat een score A haalde op nat grip, dat wat we hier in Nederland het meest hebben, want zodra er 1 vlokje sneeuw valt, ligt er al meer zout op de wegen dan in de dode zee ligt. Dan is het millieu en grondwater ineens niet meer belangrijk. Of de lak van je auto voor wat dat betreft.

Dus gaan we zo'n regel krijgen, zullen we natuurlijk zien dat clubjes als Cisco elke keer ondermaats scoren, maar dat is dan niet erg, of krijgen ZIJ compensatie of dispensatie.. of beide... Tis wel america first, tenzij, dan zie regel 1..
Democratie, want anders krijg je oorlog, tenzij je democratie iets anders wilt dan zij, dan krijg je 'vrijheidsstrijders' (ipv rebellen) en 'lente' ipv coup... en als je niet mee doet, dan krijg je 'freedom fries' en 'liberty cabbage'...

Tis me wat allemaal...
01-02-2024, 13:51 door Anoniem
Door Anoniem: Handig, zo'n auto-update. Zeker als de NSA, CIA, FBI ofzo later nog eens naar binnen willen.

De vraag is dan eigenlijk... wil je de Chinees of de Amerikaan hebben die mee kijkt?
Ik maak mij minder zorgen om bovengenoemde organisaties dan de CCCP van China die mijn router wil binnendringen!
01-02-2024, 18:17 door Anoniem
Door Anoniem:
Door Anoniem: Handig, zo'n auto-update. Zeker als de NSA, CIA, FBI ofzo later nog eens naar binnen willen.

De vraag is dan eigenlijk... wil je de Chinees of de Amerikaan hebben die mee kijkt?
Ik maak mij minder zorgen om bovengenoemde organisaties dan de CCCP van China die mijn router wil binnendringen!

Die zitten toch standaard in jouw router en proberen de CCCP juist buiten de achterdeur te houden.
02-02-2024, 13:27 door Anoniem
@anoniem 11:51uur
Cisco enterprise staat vanaf de WAN-zijde nooit open voor management, staat ook standaard zo weinig mogelijk aan (geen web-server bv.) om minder kans op hacks te krijgen.

Het gaat wél om die goedkope consumenten router-tjes van mensen die denken dat ze het beter weten/kunnen dan hun internet providers.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.