Netgear laat voordeur open staan voor hackers in 45 routermodellen

45 modellen van Netgear-routers bevatten een grote kwetsbaarheid waarlangs aanvallers gebruikersnaam en wachtwoord kunnen omzeilen. Netgear geeft de toestellen geen patch, zodat je ze best zo snel mogelijk vervangt.

80 Netgear-routers zijn bevatten een ernstig zero day-lek. Dat werd in januari al ontdekt door het Zero Day Initiative. Het gaat specifiek om een buffer overflow-kwetsbaarheid in het httpd-protocol waarbij een aanvaller zonder gebruikersnaam of wachtwoord code kan uitvoeren op de router en dat met administrator-privileges. In essentie zet het lek de voor- en achterdeur van de router helemaal open, waardoor een aspirant-hacker meteen een inrit heeft om het achterliggende netwerk aan te vallen.

De afgelopen maanden lanceerde Netgear sporadisch updates voor verschillende toestellen, maar een timing en overzicht van de probleemrouters en het beoogde plan van aanpak bleef uit. Daar komt nu verandering in: Netgear publiceerde een lijst van kwetsbare toestellen en de bijhorende status van de patch. Wat blijkt: van de 80 getroffen routers krijgen er maar 35 een update. De andere 45 zijn gedoemd om voor altijd kwetsbaar te blijven.

Ondersteuningsperiode

Sommige toestellen zijn amper ouder dan drie jaar. Netgear garandeert drie jaar aan ondersteuning en neemt die deadline klaarblijkelijk erg serieus, ondanks de ernst van de bug. Heb je thuis of op kantoor een Netgear-router staan die je al langer dan drie jaar van wifi voorziet? Dan is de kans groot dat je het toestel moet vervangen. Een alternatief is om via een firewall de toegang tot de router erg af te schermen maar zelfs in dat geval lijkt het ons een betere optie om een nieuw toestel aan te schaffen dat geen rampzalig lek bevat.

Routers zijn in het beste geval al redelijk kwetsbare toestellen. Dat Netgear zich voor een update voor deze kwetsbaarheid strikt aan de ondersteuningscyclus van drie jaar houdt, is teleurstellend. Zelfs Microsoft rolt in ernstige gevallen updates uit voor al zijn producten, inclusief besturingssystemen waarvoor de ondersteuning al lang is afgelopen. In dit geval had Netgear iets gelijkaardigs mogen doen, toch zeker voor routers die minder dan vijf jaar oud zijn.