Nebezpečné zranitelnosti WiFi routerů Asus

A nepomohl by přechod na OpenWRT (kde už aktualizace nejsou)?

Blbost... pořád musíš přejít na vyšší verzi po nějaké čase.. tudíž je to aktulizace...

Vypadlo mi slovo, omlouvám se. Myslel jsem: OpenWRT tam, kde už ASUSácké updaty nejdou.
Právě proto, že OpenWRT se (ještě) pořád updatuje.

U ASUSu běžná věc.

Velké kulové, to se týká TP- Linku...

TP-Linky xDSL mám už 10 let. A neřekl bych že jsou děravé. Za 10 let byla jedna kritická aktualizace.

První T20A běžel 3 roky po konci podpory.
Nahradil jsem ho kvůli rychlosti. (Chybějící 5GHz a stovkova LAN dnes už nestačí).
Druhému (gigovemu T50B) před měsícem vyšla aktualizace. Vždy se dívám jestli je “critical". Většinou není. Takže čekám 3 měsíce. Už se stalo že něco rozbili. Posledně IPv6ku. Řešil jsem s podporou a musím je pochválit. Další firmware to fixnul.

Na klasifikaci ze strany vyrobce bych fakt nezpolehal, ti radi dopady vseho bagatelizuji...

pokud na to výrobce kašle, tak kašle i na to, aby vůbec evidoval zranitelnosti. Stejně tak to dopadne, když skončí podpora, prostě přestane úplně aktualizovat zranitelnosti. Ono u tp-linku u domácího segmentu to není slavné ani když podpora ještě je.

Teď jsem měl stejný spor s klientem, chce instalovat HW+SW, který už nemá podporu, já to odmítám udělat, protože mají neopravené zranitelnosti, on argumentuje stránkou výrobce, kde jsou uvedeny pouze dvě malé zranitelnosti.

Oprava. Píšu TP-link a na mysli mám Zyxel.
:-(
A to tady kritizuji RedMaxe

Nemyslel si nahodou Zyxel?
TP-link nema take xDSL routre.

Mam jeden z postihnutych DSL routrov a firmware, ktory riesi tuto zranitelnost bol vydany uz na konci minuleho roka.
Podotknem, ze je to router, ktory je 8 rokov stary.
Asus po prechode na AsusWRT ma u vecsiny modelov velmi dlhu podporu.
Takuto podporu naozaj TP-Link nema. Neviem, ci nejaky iny vyrobca ma tak dlhu podporu.

Buď piráti začali zneužívat zranitelnost a eskaloval to výrobce. A nebo to eskaloval bleepingcomputer.

To se týká všech.

Jednou se stalo i MikroTiku.
To byl docela mazec pro komunitní wifi.
Zaktualizovat tisíce routeru v termínu "včera bylo pozdě". Nechtěl bych.

Mám RT-AX55, ale když nemám povolený přístup z internetu, tak snad útočník nemá co obcházet, když se tam nemá jak dostat.
Jestli vydají nový firmware, tak klidně aktualizuji.
Jen by mě zajímalo, jak je technicky tato zranitelnost nebezpečná, když se útočník nějak musí dostat do lokální sítě, ale nemá jak.
A heslo jaké mám, je snad jedno, když ho to má umět obejít?

Zdálo se mi divné, že by čtenář rootu měl takto velmi omezené znalosti bezpečnosti. Koukám kdo to je. Aha. RedMaX si tady založil účet. (Na DIITu už se odvařil dávno)
Prosím Vás RedMaxi. Nepište bludy.

Zakázání přihlášení z internetu samozřejmě nestačí. Může se objevit zranitelnost, která to umí obejít. Takové případy už byli. Jestli to je tento případ není z článku jasné.
Ale když si výrobce začne sypat popel na hlavu, tak to nejspíš bude velký problém.

Popis od assus je tak vagni, ze muzete mit pravdu oba. A muze byt tak vagni, protoze chce Assus prodat novy routery.

A ano, zakazat vsechny sluzby na venkovnim rozhranni routeru je nekdy dostatecne (zvlast kdyz si pak treba nmap-em overite, ze fakt dostupne nejsou). Sluzbu, ktera nebezi a neni z pohledu utocnika dostupna, nejde napadnout. Vetsina routeru ma bohuzel v defaultu spoustu sluzeb zapnutych i na venkovnim rozhranni.

Ikdyz wifi je dostupne jen ve stovkach metru od routeru, pokud na nem bezi sluzby, problem to byt muze (protoze autentizaci lokalni wifi obvykle prolomit lze), a protoze v tech stovkach metru mohou byt jine napadene routery.

Vágní popis má svůj důvod. Opravdu nechcete dávat návod na hacknutí.

Prodat nové chtějí. Ale tímto je spíš pošlou za konkurencí.

S tou WiFi dost nadsazujete?
Dosah je 50 metrů. 100 metrů jen přímá viditelnost (ve vakuu). Stovky metrů? Všesměrovou anténou ani náhodou.
WPA2 se mi podařilo bruteforcem prolomit jen jednou (8 číslic). WPA3 ani jednou a to je už docela rozšířená.
No teď mám nějaký nový HW, takže bych ho mohl otestovat v hashcat. Hodně lidí má méně než10 znaků.. Sousedi těšte se. Test bezpečnosti zdarma :-)

Zranitelnost měl WEP, ale ten už jsem dlouho nepotkal. Bohužel :-( Co mám neomezený data v mobilu, to už moc neřeším)

Pokud jde o blbě nastavená hesla k wifině, tak to asi jen tak nevymizí. Blbý je, ža pak se útočník ocitá na vnitřní straně toho routeru...

Já tu mám na první scan ve 2.4 GHz pásmu 26 wifin, přičemž tři jsou zcela bez hesla, dvě mají kombinaci typu admin/admin (tedy výchozí heslo) a asi tak čtyři uhádl můj tehdy desetiletý synek - včetně AP Čápovi se suberbezpečným heslem Afr1ka!.; oD

stačí, když ve tvé síti se objeví napadené zařízení, které se bude snažit napadnout i ten router. No a dostat si do sítě napadené (či otevřené) zařízení je snadné, může to být cokoliv vč. jakéhokoliv mobilní aplikace na telefonu u kohokoliv, kdo se ti tam na wifi přihlásí.

Ve zdrojovém článku se píše že se má utěsnit:
Port forward, DDNS, VPN, DMZ, port tigger.
Takže všechny služby, které mohou otevřít FW.
Takže opravdu asi z venku útok není možné provést. Ale stačí UPnP (v defaultu často povolené) a ona se nějaká legitimní aplikace najde, co si otevře vrátka. Nejčastěji hry.

ano, hlavně bez UPnP ti spousta věcí v domácí síti nemusí fungovat.

Co třeba? UPnP je vždy skoro to první, co zakazuju. Ale asi je to tím, že na domácí síti máme jen smartphony, notebooky, tiskárnu a pračku. Co bychom tam taky měli mít víc...

Jestli myslíte tohle https://www.asus.com/support/faq/1039292/,
tak to je přeci obecný článek, jak utáhnout zabezpečení routerů ASUS, víceméně se ten výčet dá aplikovat na téměř jakýkoliv Wi-Fi router. Nesouvisí to přímo ze zmíněnými zranitelnostmi ze zprávičky.

To z toho jen bleepingcomputers udělal kompilát "ASUS doporučuje", aby v článku bylo víc než odkaz na ty CVE.

Jedna zranitelnost je obejití ověření do webového rozhraní, druhá pak upload podvrženého firmware. Jako blbý, závažné chyby, co je to pořeba opravit, ale zas bych z toho nedělal úplnou kovbojku.
Žádný z těch routerů s ASUSWRT nemá ve výchozím nastavení otevřenou web administraci zvenku, ani z guest Wi-Fi (pokud ji povolíte). Pokud už se vám někdo dostane do vnitřní Wi-Fi, resp. LAN sítě, tak stejně může udělat x dalších věcí a je to průšvih tak jako tak.

A stran toho UPnP, pokud by někdo udělal škodlivý program, co si uživatel spustí, nebo infikoval nějaký existující software, který udělá port mapping na routeru přes NAT-PMP, UPnP IGD, tak to také přímo nesouvisí se zmíněnými zranitelnostmi. To může udělat na jakémkoliv routeru, kde je tohle povoleno.

Nemít povolené přihlášení zvenčí stačí. Teoreticky. Protože:
- máte problém, pokud někdo napadne třebas phishingem někoho uvnitř sítě
- objeví se jiná chyba, kterou vám to někdo zresetuje do továrního nastavení. A některá zařízení to mají by default povolené, kolikrát i s účtem a heslem admin/admin

Oboje se bohužel děje. Takže nespoléhat jen na to, že je přihlášení zvenčí disabled.

Nemělo by se v tomto případě slovo zranitelnost nahradit za backdoor?

Neměl by se backdoor automaticky považovat za zranitelnost?

Zalezi na tom, zda jde o umysl... a nebo o prosty programatorsky slendrian. Zvlast u levnych krabicek bych hledal spis to druhe - proste to programator odflaknul, aby mel rychle hotovo a "nejak" to fungovalo.

Levné?
XT8 v2 stojí 7500,-Kč

Najednou CISCO není tak předražené.

Ano levne. Kolik takovych krabicek musite prodat, abyste uplatil rozumny vyvoj? :-) Samozrejme cena neni jedina metrika, ostatne odflaknuty kod a doslova skolack chyby najdete i u drazsich reseni.

Evidentně pro různé modely je ten vývoj jen copy+paste. Když ten bug je na více modelech.

levných draze prodávaných...

Neplést heslo do wifi(wpa) a do administrace

Ten popis je fakt bídný. Jsou v nebezpečí ti s přístupem z vennčí, nebo to jde i. Obejít phishingovou url zevnit4 (192.168.1.1/taj­naurlbackdooru)