Thuisrouters draaien hopeloos gedateerde onveilige software

Een studie thuisrouters wijst uit dat de dingen vrijwel allemaal inherent onveilig zijn omwille van de verouderde software die fabrikanten gebruiken, het gebrek aan updates en de aanwezigheid van tal van gekende beveiligingsproblemen.

Het Duitse Fraunhofer Institute für Kommunikation (FKIE) onderzocht 127 thuisrouters om na te gaan hoe het gesteld is met de veiligheid van de toestellen. De bevindingen zijn hallucinant: geen enkele geteste router is vrij van beveiligingsproblemen en bij 46 toestellen dateert de laatste softwareupdate van meer dan een jaar geleden. Het FKIE zelf noemt de bevindingen alarmerend.

Stokoude Linuxkernel

Het instituut analyseerde de routers op een aantal vlakken. Frequentie van updates was er één, gebruikte software een andere. 116 van de 127 toestellen draait op een versie van Linux maar de gebruikte kernel is doorgaans hopeloos verouderd. Eén derde van de geteste toestellen draaide op kernelversie 2.6.36. Die versie kreeg haar laatste beveiligingsupdate negen jaar geleden. AVM is de enige fabrikant die geen enkel toestel in de markt heeft met software gebouwd op Linuxkernel 2.6 of ouder. De fabrikant komt over de hele lijn het best uit het onderzoek van FKIE, al benadrukken de onderzoekers dat geen enkele router vrij is van kritieke kwetsbaarheden.

Het FKIE keek verder naar exploit-mitigatie. Er zijn heel wat technieken beschikbaar om routers en gelijkaardige toestellen van exploits te beschermen zoals de implementatie van non-uitvoerbaar geheugen (NX) en gerandomiseerd laden van uitvoerbare bestanden in geheugen. NX wordt in vrijwel alle toestellen geïmplementeerd maar veel verder gaan de meeste fabrikanten niet.

Verdere stelde het FKIE vast dat het gros van de routers één of meerdere private sleutels vindbaar verwerkt in de firmware en dat hardgecodeerde logingegevens populair blijven. Dat laatste maakt onder andere het Mirai-botnet dankbaar gebruik van, aangezien hackers logingegevens eenvoudig kunnen achterhalen en misbruiken.

Geen excuus

Volgens het onderzoek ligt de fout bij de fabrikanten. Naast AVM werden ook Asus, Netgear, D-Link, Linksys, TP-Link en Zyxel op de rooster gelegd en geen enkele routerbouwer komt er zonder schaamte vanaf. Het updatebeleid van de routerspecialisten is slecht en voldoet niet aan hedendaagse normen. Volgens het FKIE is het perfect mogelijk om meerdere keren per jaar updates uit te brengen voor routers aangezien de opensourcecode waarop de besturingssystemen gebaseerd zijn dergelijke updates ook krijgt. De fabrikanten laten echter na die door te voeren.

Dat er geen enkele router vrij is van fouten, is op zijn zachtst gezegd zorgwekkend. Zeker nu thuiswerk een stevige boost kent, valt de nalatigheid niet te verantwoorden. Routers zijn bovendien permanent verbonden met het internet wat ze een aantrekkelijke aanvalsvector maakt. Er is met andere woorden een dringende mentaliteitswijziging nodig bij routerfabrikanten waarbij beveiliging een kernonderdeel van het product wordt, zoals dat vandaag al bij andere toestellen het geval is.