Dit soort 'routers' moet je ook niet aan internet hangen, en zeker niet na EOL datum. Gebruik dan maar weer de telco router als schild door die ervoor te zetten.

TP-Link zegt: TP-Link Archer C50 V3( <= 180703)/V4( <= 250117 )/V5( <= 200407 )
Wat is de logica achter deze versienummering? Hoe kun je dit ooit automatisch controleren.
Bv stel je hebt 210728. Is dit een V4 (ja zou ik denken) of toch een V5?
Ben benieuwd hoe straks de CPE's bij de NVD eruitzien (dat zal waarschijnlijk nog
wel een dik jaar duren vanwege alle problemen daro).

V1, V3, V5 etc. zijn hardwareversies volgens de website van TP-Link. De firmware zal oplopende versienummers per hardwareversie hebben. Als je wilt weten of jouw 210728 bij een V4 of V5 hoort zal het heel verhelderend zijn om even op het stickertje onderop het apparaat te kijken om te zien wat voor hardwareversie daar voor jouw model vermeld wordt.

We kunnen nu allemaal verontwaardigd doen over deze "ontdekking", maar laten we even normaal doen. Een goedkope router van jaren oud (de TP-Link Archer C50) die inmiddels end-of-life is, blijkt onveilige praktijken te bevatten, en iedereen is ineens in paniek? Het is 2025 – wie gebruikt er überhaupt nog een router van een paar tientjes die in 2016 al niet meer vooruit te branden was?

Dat er een hardcoded key in de firmware zit, is uiteraard kwalijk en niet te verdedigen – maar laten we wel realistisch blijven. Dit soort budget-hardware is nooit gemaakt met lange termijn veiligheid of professionele omgevingen in het achterhoofd. Het is een consumentenproduct voor een prikkie, bedoeld om vijf jaar mee te gaan, max. Dat TP-Link het apparaat niet meer ondersteunt is niet verrassend – dat heet einde levensduur, en dat geldt voor vrijwel alle tech. Je verwacht toch ook geen software-updates voor een iPhone 6?

Als je anno 2025 nog steeds vertrouwt op een verouderd apparaat om je netwerkverkeer te beveiligen – inclusief je smart home, werkdata of misschien zelfs je NAS – dan moet je jezelf net zo hard aankijken als TP-Link. Dat CERT/CC hiervoor waarschuwt is terecht, maar de echte boodschap zou moeten zijn: hou je apparatuur up-to-date en gooi oude troep op tijd weg. Beveiliging is geen eenmalige aankoop, het is een doorlopend proces.

De echte les is niet dat TP-Link iets fout heeft gedaan – dat hebben ze zeker. Maar dat consumenten, bedrijven en zelfs sommige IT’ers nog steeds verwachten dat goedkope hardware jarenlang veilig blijft zonder updates, dát is pas naïef.

Dus: heb je zo’n router? Stop met huilen en vervang dat ding. Liever gisteren dan vandaag. En koop de volgende keer iets waar de fabrikant wél bekend staat om langere support en betere beveiliging. Ja, dat kost misschien een paar tientjes meer. Maar dat is nog altijd goedkoper dan een datalek.

De grap is dat deze router, die in 2015 uitkwam, kennelijk nu nog gewoon te koop is...
Zie https://tweakers.net/pricewatch/452891/tp-link-archer-c50-v1-2.html

Dus is de vraag: mogen deze nog verkocht worden in Nederland als bekend is dat het een defect product is?

Vandaag, 16:51 door The-Real-C

Je hebt allicht gelijk, maar je vergeet wel de gemiddelde consument die dit allemaal niet weet en het eigenlijk ook helemaal niet boeit.

Dus voor de EOL datum had hij geen hardcoded key en was hij wel veilig?

Dat is hier niet eens _zo_ fout, en vrij onvermijdelijk.

"Als je op de een of andere manier de config eruit hebt kunnen halen, kun je die lezen".

Nou nou nou wat een vulnerability. Dat wordt weer enorm opgepompt zonder enige zin.

Voor grote delen van de config - en diverse secrets erin - geldt nou eenmaal dat die (voor de router) in plain text beschikbaar moeten zijn.
Sommige (login passwords) kun je nog een one-way hash van maken, andere moeten gewoon beschikbaar zijn .

Het moge duidelijk zijn dat een router die bij elke powercycle pas werkt als de gebruiker "de decryptie key" invoert in elk geval kansloos is.

Het enige wat dan over zou blijven is _nog steeds_ een opgeslagen key, maar eentje die meer device specifiek is .
Ook dat is natuurlijk - uiteindelijk - kraakbaar voor iemand die bij het device kan en lang genoeg zoekt .

Voor dit probleem was al toegang tot de configuratiefiles nodig - dan moet je verzinnen dat een aanvaller daar wel bij kan, maar niet bij de bijbehorende individuele devices om de decryptie key eruit te halen.
In enterprise land kun je daar nog iets voor verzinnen (config backup server ) , maar voor (pro)sumer apparatuur echt niet als realitisch scenario.

Kortom - hier en in dit scenario gewoon een non-issue.


yep.

Je kunt ze ook roepen!

Gebeurde vroeger ook al met mensen die je vroegen even te zoeken naar een ondeugdelijk product, om te kijken wat dat nou kostte, zo'n ondeugdelijk product.

Voorzichtige mensen checkten even de link vooraf.

Waren toen overigens mensen die in de zorg actief waren met het verbouwen van huizen van oudereren en anderen die aanpassingen in hun woning nodig hadden.

Dat netwerk van personen is bekend, en achteraf kunnen we ons afvragen wie daar de aansturing over had.

De gemiddelde consument moet gewoon lekker de router van de provider gebruiken en die door de provider up te date laten houden .
Als je zo nodig vindt dat je je eigen router wilt hebben neem je ook zelf de verantwoordelijkheid voor het beheren ervan, en bijhouden of het ding nog gesupport wordt.


En dan nog : deze "vulnerability" is gewoon bullshit - aanvaller heeft "ergens" de configuratie bestanden van _jouw router_ weten te krijgen - maar op de ene of andere manier zonder passwoorden, en kan dan die passwoords uit de config decoden .
Nou nou nou.

Makkelijker gezegt dan gedaan. De gemiddelde gebruiker is niet op de hoogte van eol of de risicos.en die doen geen updates die kopen een ruter en gebruiken hem zolang de wifi voor hun werkt of tot hij gebrickt raakt en de geest geeft.

Daarbij vind ik dat fabrikanten wel een plicht hebben om producten langer te ondersteunen bij krietieke vatbaarheden zoals deze.

Het product had dit probleem al vanaf het begin alleen is er nu een hacker die er gebruik van kan maken en het bekend gemaakt heeft.

Zelf geloof ik dan eerder dat we beter uit zijn met alternatieve firmware zoals open-wrt dat wordt tenminste nog wel geupdate en onderhouden met meer best effort basis dan al die brakke router fabrikanten bij elkaar die weinig waarde lijken te hechten aan software updates en veiligheid van de klant.

Dat is wel iets wat mij dwars zit bij asus routers ze hebben zeer goede hardware maar eol is eol zelfs merlin firmware gaat je niet helpen.

En in open wrt worden die hardware matig krachtigere modellen dan weer niet ondersteund en zit je met modellen die 25+- mbit over een vpn lijn aan kunnen terwijl andere modellen de volle lijn 250mbits open vpn of 1000mbits wireguard aan kunnen.
omdat ze op tomato draaien met een propriotary gedeelte is er geen open wrt versie mogelijk. Het is allemaal niet perfect en niet netjes.
Je router wordt eol verklaart en je bent de sjaak. Das pech updates weg.

Had je dit gelezen in de eerste link in het artikel?
De configuratiebestanden zijn niet plain text maar versleuteld, alleen is de gebruikte sleutel niet willekeurig of afgeleid per apparaat maar staat die keihard in de firmware. Dat kan beter.

Ik dacht dat ik - voor mensen die wat weten van encryptie - wel duidelijk genoeg was.

De router moet er uiteindelijk in plain text bij kunnen . Dus one way hash is geen oplossing.


En dat had ik ook beschreven , een per-device key . Waarom knip je dat weg om te doen alsof je iets corrigeert ?

Het is alleen een vrij marginale verbetering waarin je nog steeds een hoop scenario moet verzinnen waarin het relevant is.

Waarom is dat bullshit? Omdat de aanvaller al toegang moet hebben verkregen om bij die configuratiebestanden te kunnen, misschien? Als dat je gedachte is, bedenk dan dat heel veel aanvallen uit stapjes bestaan: eerst toegang met weinig rechten bemachtigen via de ene bug, dan via een andere bug lokaal rechten verhogen, etc. Als via een wachtwoord dat voor alle exemplaren hetzelfde is die tweede stap een makkie wordt is dat een lek dat gedicht moet worden, zodat als iemand ontdekt hoe je dat eerste stapje zet niet meteen alles verder open ligt.

Aangezien de fabrikant dit lek niet gaat dichten moet het gedicht worden door het apparaat te vervangen (of om er alternatieve firmware op te zetten, voor wie dat kan en voor zover dat bij deze apparaten mogelijk is en goed werkt).