Beveiligingsadvies: zet Netgear-router uit

Het gat bestaat in de mogelijkheid om de gebruiker via de router naar een website met kwaadaardige inhoud te leiden. Daar kan dan via de firmware een commando binnengesmokkeld worden om de controle over de router over te nemen. Daarvoor is niet meer nodig dan kennis van het IP-adres van het doelwit, en kennis van deze inbraakmethode. Dat het dan werkt, toont de ontdekker die zich Acew0rm noemt in onderstaande video.

En dat betekent dat het uitermate gevaarlijk is om met de kwetsbare routers het web op te gaan. Als je IP-adres op de radar van een hacker staat, ben je meteen ook de klos.

De kwetsbaarheid zit in ieder geval in de Netgear-routers R7000 met firmwareversie 1.0.7.2_1.1.93 en de R6400 met firmwareversie 1.0.1.6_1.0.4. Mogelijk zijn ook de oudere firmwareversies van deze router kwetsbaar, en de verdenking bestaat dat ook de R8000 met firmwareversie 1.0.3.4_1.1.2 kwetsbaar is.

Het Amerikaanse Computer Emergency Respons Team adviseert om de verdachte routers niet meer te gebruiken. Als dat geen optie is, kan men de web server van de router uitschakelen. Dat gaat via het routeradress:

http://[router-address]/cgi-bin/;killall$IFS'httpd'

Consequentie daarvan is wel dat het webconfiguratie-interface van de router niet langer beschikbaar is, en er waarschijnlijk een foutmelding wordt getoond. Maar de kwetsbare plek is dan wel uitgeschakeld. Bij uit- en weer aanzetten van de router vervalt deze instelling, en ben je weer kwetsbaar. Het is in dat geval zaak bovengenoemd commando weer te herhalen.