mboost-dp1

Linksys

Sikkerhedshul opdaget i Linksysroutere

- Via Defence Code - , redigeret af Pernicious

Defence Code har oplyst, at de har fundet et 0-day sikkerhedshul i modeller af routere fra Linksys.

Sikkerhedshullet skulle give adgang til root, og være med i standardopsætningen af routeren. Defense Code har tidligere kontaktet Cisco med detaljer om sikkerhedshullet og Cisco udtaler, at den seneste version af firmwaren skulle have rettet fejlen. Defence Code har testet den seneste officielle firmware 4.30.14, som stadig har sikkerhedshullet.

Defence Code vil offentliggøre sikkerhedshullet indenfor de næste par uger, og opfordrer samtidig Cisco til at lukke sikkerhedshullet.





Gå til bund
Gravatar #1 - Mort
18. jan. 2013 07:41
Jeg synes det er utroligt at et firma som Cisco ikke har rettet fejlen, efter så lang tid.

Jeg ville tro at deres ry ville være meget vigtigt for dem og at få lukket sådan en grov fejl ville være af højeste prioritet.

Personligt vil jeg i de næste mange år tænke på den dårlige sikkerhed i deres produkter, når jeg hører navnet Cisco og Linksys.
Gravatar #2 - Nize
18. jan. 2013 07:42
Størstedelen af disse routere er solgt gennem butikker som ElGiganten til Hr. og fru Jensen'er, som aldrig kommer til at høre om den slags eller patche dem, selv hvis de hører.

On-by-default-silent-autoupdate-og-genstart burde være et must i alt netværksudstyr (og software osv) til private - og så skal der være mulighed for at slå det fra - ikke omvendt.

Folk er allerede retardo nok til at snakke om 'mit internet', 'jeg har fået internet' og viser tydeligt, at den slags er blevet facility services som vand og varme, og at de forventer at det virker - og at de i hvert fald ikke skal forholde sig til det.

Når retardoer rules, så skal der autoopdatering til - og det gælder så alt på de flestes PC'er og mobiler. Se bare java og flash - der stadig er semi-manuelt, for folk skal forholde sig til det, og et nej er altid sikrere hvis man ikke forstår hvad computeren siger, for det har de jo fået at vide: "Hvis i tvivl, sig nej."
Gravatar #3 - tachylatus
18. jan. 2013 07:45
Hmm, så om cirka to uger begynder hackere verdenen over at jagte unpatched Linksys-routere som de kan bruge i deres botnets.
....*klap*....*klap*....*klap*.... :-|
Gravatar #4 - blacktiger
18. jan. 2013 07:54
Selvfølgelig skal det fixes. Men der er ikke den store forskel på dette sikkerhedshul og UPNP.

Det virker kun indefra og jeg ved ikke lige hvad det er man håber på at gøre som UPNP ikke kan.

Det skulle da lige være at ændre på den trådløse opsætning, men hvorfor skulle man ville gøre det? Der er så vidt jeg kan se ikke nogen forretningsmodel i det, og folk ville med det samme opdage der var noget galt og hvis de ikke kan fixe det købe de en ny router og smider den gamle ud.

Den her historie er blot en storm i et glas vand
Gravatar #5 - binderup
18. jan. 2013 08:01
Nize (2) skrev:
Størstedelen af disse routere er solgt gennem butikker som ElGiganten til Hr. og fru Jensen'er, som aldrig kommer til at høre om den slags eller patche dem, selv hvis de hører.


Den brugergruppe du beskriver køber aldrig selv en router, men bruger udelukkende den router deres ISP udleverer. Der er heldigvis flere ISP'er der opgraderer kundernes routere over tid når der kommer patches, så Hr og Fru Jensen er nogenlunde sikre lige i denne sammenhæng.
Gravatar #6 - Zigma
18. jan. 2013 08:13
Nize (2) skrev:

On-by-default-silent-autoupdate-og-genstart burde være et must i alt netværksudstyr (og software osv) til private - og så skal der være mulighed for at slå det fra - ikke omvendt.


Når du ikke ved hvad der er regler for og hvad der ikke er, så burde du ikke udtale dig.

Det er netop ikke lovligt at sælge produkter der har autoupdate slået til per default.
Det er lovligt at spørge om det skal slåes til, når produktet tændes første gang, men ikke at sælge produktet med funktionen slået til.

Og netop som #5 siger, så er det sjældent at den brugergruppe er ude for at købe en ekstra router. De bruger den de får stillet til rådighed.
Gravatar #7 - Nize
18. jan. 2013 08:36
#6

WTF?
Gravatar #8 - Magten
18. jan. 2013 08:38
Zigma (6) skrev:
Det er netop ikke lovligt at sælge produkter der har autoupdate slået til per default.
Er det simpelthen ulovligt?
Gravatar #9 - Nize
18. jan. 2013 08:38
#6

Link til lovteksten, siden jeg burde vide det. Det må være nemt.

Gravatar #10 - binderup
18. jan. 2013 08:42
#9 jeg tror som nok at det er lovligt at lave silent updates uden at spørge om lov - eller rettere står det i brugsbetingelserne, så tror jeg ikke at der er det store problem i det.
Gravatar #11 - HenrikAppel
18. jan. 2013 08:43
#2 Jeg er helt enig med dig. On-by-default-silent-autoupdate-og-genstart bør være standart på router, da Hr og Fru jensen køber disse produkter.
#5
Til dels enig men når først den er sat op og køre så bliver der oftes ikke pillet mere ved det, og så er det vi har problemet. Du skriver at når de så høre om fejlene så patcher de selv!! hmm Det tror jeg så ikke lige hr og fru Jensen gør.
#6
Hvis det ikke er lovligt så vil jeg da påstå at der er mange der bryder denne regel. Apple/ samsung gennemtvinger da nogle updates gang på gang.
Gravatar #12 - binderup
18. jan. 2013 08:46
HenrikAppel (11) skrev:
Du skriver at når de så høre om fejlene så patcher de selv!! hmm Det tror jeg så ikke lige hr og fru Jensen gør.


Jeg siger ikke at det er Hr og Fru Jensen der patcher, men deres ISP - jeg mener at TDCs datterselskab Fullrate er et af de firmaer der vedligeholder kundernes routere.
Gravatar #13 - HenrikAppel
18. jan. 2013 08:52
#12
Sorry influenzaen har da også sløret mine øjne. Du har ret at de standart router der følger med ud fra udbyderen får disse firmware/software opdateringer. Vil dog sige at med at jeg ser flere og flere skifte disse ud til fordel for en router der kanlidt mere end det der er standarten.
Gravatar #14 - bjoeg
18. jan. 2013 09:01
Mangler der noget til denne nyhed?

Alle sites melder de er forarget over at hullet ikke er lukket i 4.30.14.

4.30.14 er en firmware fra august 2009 og bliver kun brugt i en række Linksys produkter som er EOL.
WRT54GL, eller G'erne, for den sags skyld som hovedsagligt anvender firmwaren, var populære. Men poplariteten var egentlig mest fordi de var nemmest at hardware modde og få over på 3. parts firmware (som ikke har ovenstående fejl).

Der er vel ingen, som klager over stadig sårbare sikkerhedshuller i Win9x og Windows 2000?

Desuden har Linksys valgt at gøre noget ved det i sidste ende. Firmware 4.30.16 (build 2)
- Resolves XSS issue
Gravatar #15 - moulder666
18. jan. 2013 10:55
Jeg tror, at alt det brok er pga. omfanget måske.

Som de skriver, er der solgt over 70 mio. af den slags routere, og uanset at der selvfølgelig er mange, der så ikke er påvirket af ovenstående, kan man vel godt sige, at selv hvis kun 1/3 eller 1/5 af disse routere er kompromitterede, er det stadig en større sikkerhedsbrist.
Gravatar #16 - Mnemonic
18. jan. 2013 14:59
Nize (2) skrev:
On-by-default-silent-autoupdate-og-genstart burde være et must i alt netværksudstyr
, #11

Og lade Cisco snuse rundt i trafikken efter forgodtbefindende og sælge oplysningerne videre?

Nej tak - Jeg skrottede mine E4200 pga. ovenstående og bruger nu et andet fabrikat med Open Source firmware i stedet - Det er MEGET hurtigere end Cisco's cloud-crap.
Gravatar #17 - bjoeg
18. jan. 2013 23:05
#16

Cloud. Den E4500 jeg har haft fat på, sørger blot for at tjekke og hente nyeste firmware og installere den. Hvor får du fra at en kopi af din trafik? (må være megen dataplads de så skal bruge)
Gravatar #18 - Mnemonic
19. jan. 2013 08:49
#17

Læste du overhovedet linket?

Problemet er ikke at de streamer en kopi af alle ens data til dem selv - det ved alle ikke er muligt - man at de forbeholder sig retten til at gøre det, samt at "dele" den indhentede information med hvem de vil... Jeg vil ikke acceptere så løse aftaler, og specielt ikke ved en automatisk opdatering!

Mht. hastigheden så satte jeg en anden - og meget billigere - router op med OS firmware og de præcist samme regler i NAT, og den er ca. dobbelt så hurtig som en E4200 med Cisco's cloud-SW, så det er ikke noget stort tab for mig at skifte væk fra Cisco.

Jeg har ellers ALTID været fortaler for dem, og har i al beskedenhed haft en vis indflydelse på mine forskellige arbedsgiveres valg af netværksgrej (30k+ brugere, 150+ selskaber), så at Cisco laver et sådan stunt vil i sidste ende frohåbentligt ende op med at bide dem i r..... når deres ellers tro supportere begynder at overveje andre mærker alene pga. modvilje mod deres brand.
Gravatar #19 - binderup
19. jan. 2013 16:22
#18

Der er KÆMPE forskel på en Linksys router med et Cisco klistermærke på og så en "rigtig" Cisco router.

Til enterprise tror jeg ikke at virkeligheden har ændret sig meget fra før linksys opkøbet og så til i dag, men for linksys har det været et kvalitetsstempel de måske ikke helt havde fortjent.
Gravatar #20 - Mnemonic
19. jan. 2013 20:33
#19

Selvfølgelig er der forskel på en legetøjs-router og en "rigtig" Cisco-dåse med IOS. Jeg ville også hellere ha' en PIX stående... ;)

Men min pointe er at Cisco risikerer at blive valgt fra - hvis alt andet er lige - simpelthen pga. den uvilje de opbygger ved at lave deres tåbelige stunt med automatisk opt-in for bagdør i deres consumer-produkter.
Gravatar #21 - Magten
19. jan. 2013 21:24
#20
Er de ikke ved at sælge consumer delen fra?
Gravatar #22 - Mnemonic
19. jan. 2013 22:46
#21
Jo, de vil helt ud af consumer-markedet - Deres opkøb af LinkSys har vist ikke været nogen succes for nogle af selskaberne.
Cisco's renommé er blevet dårligere af at blive forbundet med LinkSys, og som #19 skrev er forventningerne nok blevet for høje for LinkSys' produkter...

Men hvis det betyder at de går tilbage til at lave produkter som WRT54G, er det helt fint med mig! ;)
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login