Routers van verschillende merken, veelal meegeleverd door internetaanbieders bij een alles-in-een-pakket, blijken kwetsbaar voor fout in de ingebouwde webserver. Minimaal 12 miljoen apparaten in 189 landen zijn al als potentieel slachtoffer geïdentificeerd.
De fout zit in de embedded webserver die standaard onderdeel vormt van deze routers om ze via een webinterface te kunnen configureren, meldt IT World. Veel fabrikanten gebruiken dezelfde webserver genaamd RomPager. IT-beveiliger Check Point maakte het probleem wereldkundig en opende een speciale website om het probleem genaamd Misfortune Cookie te verduidelijken.
De kwetsbaarheid is aangetoond in de routers van zeker 200 verschillende fabrikanten. Bij een eerste scan op internet bleken al 12 miljoen routers gevoelig voor misbruik. Er zijn echter schattingen dat de RomPager software op zeker 75 miljoen routers aanwezig is. De kwetsbaarheid doet zich voor in de versies ouder dan 4.34. In veel gloednieuwe routers zijn echter nog veel oudere versies van RomPager verwerkt. Vooral versie 4.07 is populair. RomPager-producent Allegro blijkt al sinds 2005 op de hoogte van het probleem.
Ernstig probleem
Check Point kwalificeert de kwetsbaarheid die de registratie CVE-2014-9222 Misfortune Cookie kreeg, als ‘ernstig’. Een kwaadwillende kan zich administrator-rechten op de router toekennen waarbij in praktijk het hele netwerk benaderbaar is. Daarmee is de firewall-beveiliging weg, kan al het verkeer op het netwerk worden getapt en is de informatie op de aangesloten apparatuur alleen nog beschermd door eventueel lokaal aangebrachte beveiliging. Veel apparatuur staat echter zo ingesteld dat zij het lokale netwerk als veilige omgeving zien waarop minder strenge beveiliging nodig is.
De kwetsbaarheid kan worden misbruik ook al is de webserver in de router zo ingesteld dat deze geen opdrachten van het internet accepteert. Dat komt omdat de ISP’s de routers zo configureren dat zij luisteren naar poort 7547, bijvoorbeeld voor het automatisch updaten van de firmware of het monitoren van problemen.
Check Point heeft al de routerfabrikanten op de hoogte gebracht en ook een richtlijn voor IPS’s opgesteld om de routers van hun klanten snel van een nieuwe firmwareversie te voorzien.
De kwetsbaarheid is aangetoond in routers van onder meer D-Link, Edimax, Huawei, TP-Link, ZTE en ZyXEL.
Bron: Automatiseringsgids
