Nieuws
image

Botnet infecteert DD-WRT-routers via vijf jaar oud beveiligingslek

maandag 8 juni 2026, 13:42 door Redactie, 3 reacties

Onderzoekers van Fortinet hebben een botnet ontdekt dat DD-WRT-routers via een vijf jaar oud beveiligingslek infecteert en vervolgens inzet voor het uitvoeren van ddos-aanvallen tegen websites. DD-WRT is een op Linux-gebaseerd besturingssysteem voor routers dat vaak meer mogelijkheden biedt dan het al geïnstalleerde besturingssysteem. In maart 2021 werd gewaarschuwd voor een kwetsbaarheid (CVE-2021-27137) in DD-WRT waardoor een ongeauthenticeerde aanvaller een buffer overflow kan veroorzaken, wat uiteindelijk tot het uitvoeren van code leidt.

Voorwaarde voor misbruik is wel dat Universal Plug and Play (UPnP) staat ingeschakeld, wat bij DD-WRT standaard niet het geval is. Fortinet meldt dat een botnet genaamd C0XMO misbruik van het beveiligingslek maakt om DD-WRT-routers te infecteren. In het geval de router al door andere malware is besmet zal C0XMO die verwijderen. Besmette routers worden vervolgens ingezet voor het uitvoeren van ddos-aanvallen en zoeken naar andere kwetsbare routers om aan te vallen. Naast het gebruik van exploits voor kwetsbaarheden kan C0XMO ook bruteforce-aanvallen via Telnet en SSH uitvoeren.

Reacties (3)
Reageer met quote
Vandaag, 15:08 door Anoniem
Voorwaarde voor misbruik is wel dat Universal Plug and Play (UPnP) staat ingeschakeld, wat bij DD-WRT standaard niet het geval is
UPnP is een netwerkprotocol en biedt veel installatiegemak maar is het controversieel in de wereld van cybersecurity. Niet aanzetten dus!
Los van de bug en waarom men niet patcht, UPnP verifieert niet altijd of het verzoek om een poort te openen van een legitieme of kwaadaardige bron komt. Hackers of kwaadaardige software kunnen de functie misbruiken om op de achtergrond poorten op je router open te zetten, waardoor je netwerk kwetsbaar wordt voor aanvallen van buitenaf.
Misschien gebruikt door luie online gamers maar goed het verhaal van Fortinet is vooral een analyse van de malware en niks over een succesvolle attack (executie vanuit /tmp)
Reageer met quote
Vandaag, 15:24 door Joep Lunaar
UPnP staat standaard uit op DD-WRT en ingeschakeld luistert het bovendien alleen op de interne interfaces.
Bug is kort na melding middels een patch verholpen, dus alleen apparatuur die nog op hele oude versie van DD-WRT is gebaseerd én een bizar domme configuratie actief heeft kan door deze kwetsbaarheid worden getroffen.
Lijkt nogal hypothetisch, lijkt een beetje Komkommernieuws®, maar laat weten als dat niet juist is.

OT:
Om payloads van malware op een systeem te krijgen zal op embedded systemen meestal naar /tmp moeten worden geschreven (rest van het FS is read-only). Door voor /tmp noexec als mount optie te gebruiken wordt et dan al iets lastiger rottigheid uit te halen.
Reageer met quote
Vandaag, 15:47 door Anoniem
Door Joep Lunaar: UPnP staat standaard uit op DD-WRT en ingeschakeld luistert het bovendien alleen op de interne interfaces.
Bug is kort na melding middels een patch verholpen, dus alleen apparatuur die nog op hele oude versie van DD-WRT is gebaseerd én een bizar domme configuratie actief heeft kan door deze kwetsbaarheid worden getroffen.
Lijkt nogal hypothetisch, lijkt een beetje Komkommernieuws®, maar laat weten als dat niet juist is.

OT:
Om payloads van malware op een systeem te krijgen zal op embedded systemen meestal naar /tmp moeten worden geschreven (rest van het FS is read-only). Door voor /tmp noexec als mount optie te gebruiken wordt et dan al iets lastiger rottigheid uit te halen.
Inderdaad komkommernieuws en dat terwijl er zo veel leuke dingen gebeuren waarvan ik zou willen weten of dit secure genoeg gaat. bv: https://www.suse.com/products/rancher/virtualization/migration-checklist/#migration-suse-coriolis
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Advertentie
Certified Secure GenAI Deep Dive Security Training