Producenten van netwerkhardware zijn notoir traag in het leveren van patches. Dat is erg, want thuisrouters vaak bezaaid met gaten, zo blijkt keer op keer. In een zoveelste onderzoek publiceren beveiligingsexperts uit Madrid op Full Disclosure weer eens een lijst met kwetsbare routers. De meeste routers bevatten meerdere lekken en de ontdekkers hebben deze begin mei gemeld.

We vlooiden voor je even door de meldingen. Het zijn zoals gewoonlijk heel rudimentaire beveiligingsfouten (bijvoorbeelde XSS om direct naar de admin te gaan zonder authenticatie en verkeerd gebruik van het immer kwetsbare UPnP) die toch echt niet voor zouden mogen komen. Ook de merken zijn grotendeels de usual suspects.

Dus het is weer eens tijd voor een ronde patches van producenten als Linksys en Huawei. Die komen wel. Ooit. Jammer ook dat maar weinig consumenten hun firmware updaten, dus deze lekken zijn de komende maanden of zelfs jaren een goudmijn voor gespuis dat routers verovert voor malafide doeleinden.

1. Linksys

We beginnen met een bekende gatenkaas-producent, maar voor de verandering is Linksys niet de grootste schender. De enige onderzochte router, de WRT546L, bevat in de recentste firmware slechts één kwetsbaarheid - voor zover de beveiligers hebben gevonden. Via dit XSS-gat kan een aanvaller de hostname-parameter in een DHCP-request aanpassen en zo malafide code toevoegen aan het hostname-veld, waardoor de verbonden apparaten de code kunnen uitlezen en uitvoeren.

2. Huawei

De grootste schender van de huidige lijst is Huawei die met twee onderzochte routers maar liefst 11 kwetsbaarheden de wereld heeft ingebracht. Ter vergelijking: de meeste routers bevatten drie of vier fouten. Het gaat om de modellen Huawei HG553 en Huawei HG556a. Deze twee werden in het verleden uitgegeven door Vodafone in het buitenland. De eerste heeft vijf kwetsbaarheden waarmee de authenticatie kan worden omzeild.

De HG556a maakt het wel heel bont met maar liefst zes kwetsbaarheden, waaronder default ingeschakeld UPnP waarmee je authenticatie omzeilt om onder meer de firewallinstellingen aan te passen. Dit probleem doet zich universeel en wijdverspreid voor, omdat UPnP een handige feature is om te koppelen aan andere netwerkapparaten - security staat dat blijkbaar alleen maar in de weg.

Toevallig een van deze twee routers in huis? We zouden aanraden om hem weg te doen, ware het niet dat de meeste andere fabrikanten het ook niet zo nauw nemen met firmwarepatches uitgeven. Ons advies? Massaal drammen bij Huawei om patches.

3. Comtrend

Comtrend heeft in Nederland onder meer routers afgeleverd aan Tele2-abonnees. De Spaanse onderzoekers bekeken vijf routers van deze producent (die standaard worden uitgeleverd aan Telefonica-klanten) met zo'n twee á drie gaten per product. Uitschieter is de Comtrend CT-5365 met vijf gaten: twee XSS-kwetsbaarheden, default UPnP-gebruik en twee CSFR-kwetsbaarheden.

Als bij de laatste gebruikers hun wachtwoord willen aanpassen, wordt een standaardpagina met het nieuwe wachtwoord aangemaakt. Derden kunnen een url sturen met een aangepast wachtwoord, waarna de router dat wachtwoord oppikken. Via het tweede CSFR-gat kunnen aanvallers DNS-wijzigingen aanbrengen.

Deze wordt dus niet uitgeleverd in Nederland. Minder positief voor ons is dat de onderzoekers 5 Comtrend-routers onderzochten die Telefonica uitgeeft en ze alle 5 gaten bevatten. Dat voorspelt weinig goeds voor de producten die we wél gebruiken.

4. D-Link

Het valt ook mee wat D-Link-routers betreft. De onderzoekers bekeken twee routers van de populaire fabrikant en zagen dat in beide gevallen UPnP default is ingeschakeld (dat telt volgens hen als een gat, maar daar kun je over discussiëren) en in de DSL-2750B zit een lek waarmee aanvallers gevoelige informatie over de router (zoals wachtwoorden en WPS-codes) kunnen bemachtigen.

5. Netgear

Netgear heeft over het algemeen - niet altijd overigens - een gezonde reputatie op netwerkgebied, maar ook deze producent laat steken vallen. In de bekeken CG3100D zitten twee fouten. En het gaat in dit geval niet om het default inschakelen van UPnP. Het eerste lek is een CSRF-gat waarmee onder meer de standaardinstellingen kunnen worden hersteld en het tweede is een XSS-kwetsbaarheid waarbij aanvallers code kunnen injecteren in het SSID-veld van de router.

6. Observa Telecom

Waarom staat een Spaanse fabrikant op deze lijst? Omdat deze misschien wel de grootste doodzonde bevat: een backdoor. Een aanvaller die '1234 administrator' gebruikt, kan als admin inloggen op het systeem met het gedocumenteerde wachtwoord '7449airocon'. Observa is ongetwijfeld niet de enige fabrikant die het doet (admin-wachtwoorden vind je, al dan niet hardcoded, anno 2015 nog altijd te vaak terug in handleidingen) maar dit zou niet mogen gebeuren. Nooit.