Tienduizenden routers kaapbaar door securitygat in chipsoftware
Exploitcode, maar ook detectiemiddelen, zijn nu publiekelijk beschikbaar. Deze openbaarmaking volgt op een presentatie van Argentijnse security-onderzoekers op hackersconferentie DEF CON in Las Vegas afgelopen week. Daar hebben zij hun ontdekking uiteengezet, nadat ze veel eerder chipfabrikant Realtek hebben ingelicht. Die leverancier heeft in maart dit jaar al zijn klanten geïnformeerd over het beveiligingsgat in zijn eCos SDK (software development kit) en daarvoor een patch uitgebracht. Het is echter de vraag of routerfabrikanten hun firmware al hebben aangepast en of hún klanten die eventuele patches wel hebben geïnstalleerd.
Zero-click RCE
Routers die in gebruik zijn met default-instellingen zijn volgens security-onderzoeker Octavio Gianatiempo zó vanaf het internet te hacken, ook als beheer vanaf de WAN-interface is uitgeschakeld. De kwetsbaarheid (CVE-2022-27255) maakt het op afstand uitvoeren van eigen code mogelijk, inclusief het implanteren van backdoors voor later gebruik. Dit zogeheten RCE-gat (remote code execution) kan zonder enige interactie van gebruikers (of beheerders) worden uitgebuit. Gianatiempo en zijn mede-onderzoekers waarschuwen dat dit onzichtbare aanvalspunt niet alleen aanwezig is in routers, maar ook in sommige IoT-apparaten (Internet-of-Things).
Zeker twintig fabrikanten van netwerkapparatuur gebruiken de kwetsbare SDK van chipmaker Realtek in hun producten. Dit omvat Nexxt, Tenda, Intelbras en D-Link, zo blijkt uit een inventaris van de security-onderzoekers. Er zijn echter mogelijk nog meer fabrikanten geraakt, maar het is lastig om dat te bepalen. De slechte inzichtelijkheid van supplychains bemoeilijkt het identificeren van OEM-producten die de kwetsbaarheid in zich hebben, legt Gianatiempo uit aan SecurityWeek. Fabrikant Zyxel laat in een supportdocument weten dat zijn producten níet kwetsbaar zijn.
Afweer en (gezond) wantrouwen
De Argentijnse onderzoekers hebben via zoekmachine Shodan een verkenning uitgevoerd en daarbij meer dan 60.000 kwetsbare routers gevonden. Dat betreft dan apparaten waarvan het beheerpaneel openstaat naar internet toe. Aangezien de kwetsbaarheid ook uit te buiten is als het admin-panel uitgeschakeld is, is het eigenlijke aantal vatbare routers waarschijnlijk veel groter. SecurityWeek merkt nog op dat Mercadolibre, de grootste ecommerce-site van Latijns-Amerika, volgens een verkoopteller op zijn productpagina's meer dan 130.000 apparaten heeft verkocht die geraakt zijn door dit chipgat van Realtek.
Onderzoeksdirecteur Johannes Ullrich van het SANS Institute blogt dat het om een ernstig beveiligingsgat gaat, maar dat er nu weinig tegen te doen is. Volgens hem hebben veel fabrikanten van routers namelijk nog geen gefixte updates uitgebracht voor hun firmware. Natuurlijk is er wel afweer mogelijk; door te controleren op binnenkomend verkeer, en door eigen routers niet blind te vertrouwen. "Dat betekent overgaan op meer host-gebaseerde controls, of - durf ik het te zeggen - zero-trust. Dat is niet iets wat je in een dag volledig implementeert", merkt hij droogjes op.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee