13 apr 2022

Äldre routrar måltavla för virus

Ett flertal routermodeller från bland annat Asus och D-Link  löper stor risk att infekteras av virus.

 

Asus
Den nygamla, ryska internetmasken Cyclops Blink har börjat sprida sig till routrar från Asus, efter att tidigare ha riktat in sig på företagsroutrar. I dagsläget verkar den mest försöka tränga sig in på lite äldre routermodeller från Asus som stöder Wifi 5-standarden. Asus släpper nu en lista på 14 modeller, samt ytterligare några varianter på vissa av modellerna, som företaget säger kan vara måltavlor för internetmasken.

Asus rekommenderar att användare installerar den senaste mjukvaruuppdateringen oavsett om de tror att de har blivit utsatta eller inte. Problemet med Cyclops Blink är att den inte försvinner ens vid återställning av routern, eftersom den kan spara sig själv till lagringsminnet i en router. Det är just därför Asus rekommenderar att installera den senaste mjukvaran, för att på så sätt radera hela lagringsutrymmet.

Därtill har Asus några råd som kan reducera risken att bli infekterad, som att stänga av fjärrstyrning av routern samt att byta användarnamn och lösenord. Huruvida företaget arbetar för att ta fram någon sorts skydd mot Cyclops Blink nämns inte, och det är oklart i dagsläget om det är möjligt.

Av de 14 routermodellerna som kan bli måltavla för Cyclops Blink, har Asus slutat att släppa mjukvaruuppdateringar för tre av modellerna. Med andra ord, om du äger en RT-AC87U, RT-AC66U eller RT-AC56U kan det vara dags att tänka på att skaffa en ny router eller kika på alternativ mjukvara. Det bör i det här sammanhanget påpekas att den alternativa Asuswrt-Merlin inte heller har stöd för de tre ovan nämnda modellerna.

 

D-Link

Amerikanska CISA (Cybersecurity and Infrastructure Security Agency) har gått ut med ett meddelande som säger att vissa äldre modeller av D-Link routrar bör tas offline så snart som möjligt, eftersom de anses vara en grav säkerhetsrisk. I det här fallet ligger redan ett “proof of concept” på Github för modellerna i fråga, vilket betyder att det är en skarp säkerhetsrisk och inte en potentiell säkerhetsrisk. Säkerhetsrisken går under namnet CVE-2021-45382, vilket räknas som en 9,8 på den tiogradiga skalan.

Ett flertal modeller som introducerades mellan 2012 och 2014 är i riskgruppen och det är både Wifi 4- och Wifi 5-modeller det handlar om. Modellnamnen på de specifika modellerna är DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L och DIR-836L. Samtliga hårdvaruversioner av de nämnda modellerna är i riskgruppen. D-Link slutade släppa mjukvaruuppdateringar till modellerna kort efter att de lanserades, vilket inte är helt ovanligt när det kommer till routrar. Till exempel lanserades DIR-830- modellen år 2014 och den senaste mjukvaruuppdateringen är från 2015, knappt ett år senare.

Säkerhetsrisken består av att D-Link har ett flertal “krokar” för diagnostik i en tjänst som heter ncc2, vilket är kopplat till Dynamic Domain Name System (DDNS), som i sin tur används för att bland annat automatiskt uppdatera namnservern för domännamnssystemet i en router. Problemet är att det går att komma åt krokarna från internet utan någon form av autentisering, och på så vis injicera kommandon som sedan gör det möjligt att ta över routern. Eftersom det redan finns kod tillgänglig som visar hur man gör detta, rekommenderas alltså ägare av ovanstående modeller att snarast koppla ned dem från internet.

Även D-Link uppmanar ägare av de ovanstående modellerna att kassera dem, eftersom företaget inte planerar att släppa någon sorts lösning för problemet i fråga. Detta på grund av att D-Link inte längre erbjuder support för modellerna. Det enda sättet att säkra modellerna på skulle vara att installera en alternativ mjukvara som till exempel DD-WRT eller Openwrt.

 

 

 

Källor: https://www.sweclockers.com/ 
D-Link 
Asus