Beheer

Security
Nexxt-router

Tienduizenden routers kaapbaar door securitygat in chipsoftware

Tienduizenden routers stilletjes te kapen vanaf internet.

© Nexxt
19 augustus 2022

Tienduizenden routers stilletjes te kapen vanaf internet.

Netwerk- en wifi-routers van diverse fabrikanten zijn door aanvallers te kapen dankzij een kwetsbaarheid in software van een chipleverancier. Het gaat om de SDK voor Realteks eCos dat door routerfabrikanten wordt gebruikt. De kwetsbaarheid zit daarmee in de netwerkstack van apparaten, die daardoor ook via hun WAN-interface zijn te hacken.

Exploitcode, maar ook detectiemiddelen, zijn nu publiekelijk beschikbaar. Deze openbaarmaking volgt op een presentatie van Argentijnse security-onderzoekers op hackersconferentie DEF CON in Las Vegas afgelopen week. Daar hebben zij hun ontdekking uiteengezet, nadat ze veel eerder chipfabrikant Realtek hebben ingelicht. Die leverancier heeft in maart dit jaar al zijn klanten geïnformeerd over het beveiligingsgat in zijn eCos SDK (software development kit) en daarvoor een patch uitgebracht. Het is echter de vraag of routerfabrikanten hun firmware al hebben aangepast en of hún klanten die eventuele patches wel hebben geïnstalleerd.

Zero-click RCE

Routers die in gebruik zijn met default-instellingen zijn volgens security-onderzoeker Octavio Gianatiempo zó vanaf het internet te hacken, ook als beheer vanaf de WAN-interface is uitgeschakeld. De kwetsbaarheid (CVE-2022-27255) maakt het op afstand uitvoeren van eigen code mogelijk, inclusief het implanteren van backdoors voor later gebruik. Dit zogeheten RCE-gat (remote code execution) kan zonder enige interactie van gebruikers (of beheerders) worden uitgebuit. Gianatiempo en zijn mede-onderzoekers waarschuwen dat dit onzichtbare aanvalspunt niet alleen aanwezig is in routers, maar ook in sommige IoT-apparaten (Internet-of-Things).

Zeker twintig fabrikanten van netwerkapparatuur gebruiken de kwetsbare SDK van chipmaker Realtek in hun producten. Dit omvat Nexxt, Tenda, Intelbras en D-Link, zo blijkt uit een inventaris van de security-onderzoekers. Er zijn echter mogelijk nog meer fabrikanten geraakt, maar het is lastig om dat te bepalen. De slechte inzichtelijkheid van supplychains bemoeilijkt het identificeren van OEM-producten die de kwetsbaarheid in zich hebben, legt Gianatiempo uit aan SecurityWeek. Fabrikant Zyxel laat in een supportdocument weten dat zijn producten níet kwetsbaar zijn.

Afweer en (gezond) wantrouwen

De Argentijnse onderzoekers hebben via zoekmachine Shodan een verkenning uitgevoerd en daarbij meer dan 60.000 kwetsbare routers gevonden. Dat betreft dan apparaten waarvan het beheerpaneel openstaat naar internet toe. Aangezien de kwetsbaarheid ook uit te buiten is als het admin-panel uitgeschakeld is, is het eigenlijke aantal vatbare routers waarschijnlijk veel groter. SecurityWeek merkt nog op dat Mercadolibre, de grootste ecommerce-site van Latijns-Amerika, volgens een verkoopteller op zijn productpagina's meer dan 130.000 apparaten heeft verkocht die geraakt zijn door dit chipgat van Realtek.

Onderzoeksdirecteur Johannes Ullrich van het SANS Institute blogt dat het om een ernstig beveiligingsgat gaat, maar dat er nu weinig tegen te doen is. Volgens hem hebben veel fabrikanten van routers namelijk nog geen gefixte updates uitgebracht voor hun firmware. Natuurlijk is er wel afweer mogelijk; door te controleren op binnenkomend verkeer, en door eigen routers niet blind te vertrouwen. "Dat betekent overgaan op meer host-gebaseerde controls, of - durf ik het te zeggen - zero-trust. Dat is niet iets wat je in een dag volledig implementeert", merkt hij droogjes op. 

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.