Beveiligingsonderzoekers van IoT Inspector werkten samen met CHIP Magazine om negen van de meest populaire wifi-routers voor thuisgebruik te testen op exploits en kwetsbaarheden. De resultaten zijn verbluffend: deze routers zijn niet alleen slecht beveiligd, maar ze lijden ook aan kwetsbaarheden die beveiligingsonderzoekers maanden of jaren geleden voor het eerst ontdekten.
De routers die zijn getest door IoT Inspector en CHIP zijn afkomstig van ASUS, AVM, D-Link, Edimax, Linksys, Netgear, Synology en TP-Link. Ze hadden allemaal de nieuwste versie van de firmware van hun fabrikant, en de kans is groot dat de kwetsbaarheden die in deze routers worden gevonden, ook voorkomen in andere modellen van hetzelfde merk.
Hier zijn IoT Inspector en CHIP Magazine's gedetailleerde bevindingen, waaronder goed nieuws dat het belang van dit soort onderzoek bewijst.
Inhoudsopgave
Bevindingen van IoT Inspector en CHIP Magazine Het goede nieuws: fabrikanten pakken de problemen aan Wat moet je doen?
IoT Inspector en CHIP Magazine& #8217;s Bevindingen
Delen aan de linkerkant van deze grafiek zijn vertaald uit het Duits. IoT-inspecteur, CHIP
Voordat we ingaan op alle verschrikkelijke gebreken in deze populaire routers, moet ik even de tijd nemen om uit te leggen hoe IoT Inspector deze tests heeft uitgevoerd. Kijk, IoT Inspector is een softwarebedrijf dat een geautomatiseerde tool voor beveiligingsanalyse voor routers en andere aangesloten apparaten verkoopt.
IoT Inspector runde elke router’ firmware via deze geautomatiseerde tool om te testen op meer dan 5.000 CVE's en andere beveiligingsproblemen. Dit is wat het heeft gevonden:
Hier zijn de resultaten van de tests van IoT Inspector en CHIP:
De negen routers hebben last van in totaal 226 gebreken.
De Archer AX6000 van TP-Link is de grootste boosdoener, met 32 beveiligingsfouten.
Synology's RT-2600ac is een goede tweede, met 30 beveiligingsfouten.
li>De meeste geïdentificeerde beveiligingsfouten zijn “hoog” of “gemiddeld” risico.
Elke geteste router lijdt aan een bekende kwetsbaarheid die niet is gepatcht.
Hoewel de onderzoekers niet veel gedetailleerde informatie over deze beveiligingsfouten en bugs deelden, publiceerden ze wel een kritieke kwetsbaarheid die werd gevonden in de DIR-X460-router van D-Link. Hier komt het kort op neer: IoT Inspector heeft een manier gevonden om kwaadaardige firmware-updates naar de DIR-X460 van de D-Link te sturen door de coderingssleutel te extraheren.
Bovendien heeft IoT Inspector en CHIP hebben enkele van de meest voorkomende fouten in deze negen routers gepubliceerd:
Zwakke standaardwachtwoorden, zoals “admin.”
Hardcoded inloggegevens in pijnlijke tekst, je weet wel, niet-versleutelde gegevens.
Verouderde Linux-kernel in routerfirmware.
Verouderde multimedia- en VPN-functionaliteit, die misbruikt zou kunnen worden.
Gebruik van oude versies van BusyBox.
Houd er rekening mee dat iedereen deze tests zou kunnen uitvoeren, inclusief de routers’ fabrikanten. Het is duidelijk dat de negen hier geteste merken niet de tijd nemen om hun producten goed te beveiligen.
Het goede nieuws: fabrikanten pakken de problemen aan< /h2>
Sarah Chaney
Volgens CHIP Magazine reageerde elk van de negen routerfabrikanten op deze tests en hebben firmware-updates uitgegeven om de kwetsbaarheden in hun producten aan te pakken. De meeste van deze oplossingen zijn bedoeld voor “laag risico” kwetsbaarheden, maar het is een goed begin.
Dit zijn de acties die elke fabrikant heeft ondernomen na dit onderzoek. Merk op dat deze opsommingstekens zijn vertaald uit het CHIP-rapport, dat in het Duits is.
ASUS: ASUS heeft onze bevindingen onderzocht en ons een gedetailleerd antwoord gegeven . ASUS heeft de verouderde BusyBox gepatcht en er zijn nu updates voor “curl” en de webserver. De wachtwoordproblemen waarvoor we waarschuwden, waren tijdelijke bestanden die het proces verwijdert wanneer het wordt beëindigd. Ze vormen geen risico.
D-Link: D-Link bedankte ons voor de tip en publiceerde een firmware-update om de genoemde problemen op te lossen.
Edimax: Edimax heeft niet te veel moeite gedaan om deze problemen te controleren, maar heeft een update gepubliceerd om enkele problemen op te lossen.
Linksys: Linksys zal alle problemen oplossen die zijn gecategoriseerd als “hoog” en “gemiddeld” Het zal in de toekomst standaardwachtwoorden vermijden en heeft een firmware-update uitgebracht voor alle resterende problemen.
Netgear: De crew van Netgear heeft hard gewerkt en alle problemen onder de loep genomen. Netgear gelooft dat een deel van zijn “hoog risico” kwetsbaarheden zijn niet erg. Het heeft een update voor DNSmasq en iPerf gepusht, hoewel andere problemen eerst moeten worden aangepakt.
Synology: Synology lost de problemen op die we hebben gevonden met een update van de Linux-kernel. BusyBox en PHP worden bijgewerkt en Synology zal zijn certificaten opschonen. Grappig genoeg profiteren alle Synology-apparaten van deze update.
TP-Link: Het updaten van BusyBox, CURL en DNSmasq loste veel van de problemen van TP-Link op. Het heeft nog steeds een nieuwe kernel nodig, maar TP-Link heeft meer dan 50 fixes gepland voor zijn firmware.
Voor alle duidelijkheid: IoT Inspector heeft niet gecontroleerd of deze patches werken of niet . En zelfs als ze werken, zijn deze routers nog steeds kwetsbaar voor bekende (en waarschijnlijk onbekende) exploits.
Of je nu een van de betrokken routers gebruikt of niet, ik raad aan om de firmware van je router handmatig bij te werken en automatische updates in te schakelen (als deze nog niet zijn ingeschakeld). Als u dit doet, zorgt u ervoor dat uw router beschermd is tegen de nieuwste exploits, of in ieder geval tegen de exploits die fabrikanten besluiten te repareren.
U moet ook een veilig wifi-wachtwoord instellen en functies zoals WPS (WiFi) uitschakelen. -Fi Protected Setup) en UPnP (Universal Plug and Play), dat uw netwerk openstelt voor malware en regelmatig door de FBI wordt bekritiseerd vanwege de talrijke beveiligingsfouten.
En als u een ongelooflijk oude router (of NAS-apparaat, wat dat betreft) moet u serieus een upgrade overwegen. Oude netwerkhardware zit vaak vol bekende kwetsbaarheden die fabrikanten gewoon niet willen patchen.
Voor meer informatie over het beveiligen van je router, bekijk onze gedetailleerde gids op How-To Geek.
Bron: IoT Inspector, CHIP Magazine via Bleeping Computer
