Säkerhetshål bekräftas i Netgear-routrar

Permalänk
Medlem

Ja detta är inte alls bra men om man känner sig tveksam till att köra betaprogramvaran så finns det alternativa sätt att slippa just detta hålet. Om man nu inte vill lägga in alternativ programvara istället som kan ha andra risker i sig om man har otur.

Då jag har en massa specialkonfigurerat på routern så blir det en hel del jobb med att ta ned och installera betan som uttryckligen säger att inga inställningar sparas, bara för att kanske behöva göra om jobbet igen när den riktiga uppdateringen sedan kommer.

Möjligen kan funktionen att spara inställningar till en fil fungera men det vet man inte om något är ändrat mellan versionerna så skulle inte lita på det.

Dessutom tveksamt om Arlo funktionaliteten för R7000 som togs bort i senaste versionerna återkommer, detta gäller bara om man har Arlo prylar.(återkommer antagligen inte så om man kör Arlo måste man ha en äldre firmvareversion då stödet plockats bort på de nyaste + att har man lagt in senare firmware där stödet är borta så går det inte officiellt att nedgradera igen). Just de firmware som stöder Arlo är dessutom bortplockade från Netgears sidor.

Temporär lösning av säkerhetshålet är enligt denna sidan:

http://www.sj-vs.net/a-temporary-fix-for-cert-vu582384-cwe-77...

Är att dels stänga av fjärråtkomst(har jag alltid haft på av) om det är på och dels att köra en kodsekvens som stänger ned själva webbservern. Då hålet körs via webbgränsnittet kan man undvika det genom att stänga av det.

Då kommer ingen åt det så länge routern inte startas om för då går webbservern igång och måste stängas av på nytt.

Gör man detta kan iofs inte heller köra webbgränssnittet, men de få gånger jag måste ändra kan jag stå ut med att rycka internet under tiden jag måste in i routern. Tänker köra så här tills den riktiga nya kommande versionen visat sig fungera.

Permalänk
Medlem
Skrivet av Baxtex:

Tur man använder DD-WRT på sin Netgear R7000 då.

Själv kör jag Advanced Tomato på min.

Permalänk
Medlem
Skrivet av Christley:

det kräver ändå en hel del setup, även om det finns guider. och det kräver att du känner dig säker med vad du gjort. jag anser min router som first line of defence och därför litar jag hellre på företag som vet vad dom gör än mig själv som kan missa något.
konfigureringstiden på en pfsense är också mycket längre än en vanlig router och sen kräver det extra hårdvara som kan kosta en hel del mer än en normal router

@Christley

Tja, mitt problem är att företagen inte tycks vara speciellt noggranna med vad de gör. Det är väl det som är grundproblemet. Det är inte första och garanterat inte sista rapporteringen om allvarliga säkerhetshål som har funnits länge och som tillverkaren inte bryr sig om förs än det blir ett PR-problem. Nu tvingas Netgear att göra något eftersom det publiceras listor på alla kända modeller med defekter.

Det är absolut en aning jobbigare med en brandvägg av typen pfSense vid uppstart. Ungefär blir det väl så här:
1. Installation, 5 minuter
2. Välja WAN och LAN, 1 min
3. Välja användarnamn för konfigurering, 1 min
4. Omstart, 1 min
samt kanske lite googlande 30 minuter om man inte har någon kolla alls. Så 1 h jobb kanske det blir friskt rundat uppåt.

Självklart är 1 timme mer än 15 min för att dra igång ditt rymdskepp från Asus...

/z

Visa signatur

C2D E6300 @ 3.2HGz 1.2V | Thermalright 120 Extr. | Gainward 8800 GT Golden Sample |Samsung 2x500Gb | Corsair VX 550V | Antec P182 [img]http://valid.x86-secret.com/cache/banner/421648.png[/img]

Permalänk
Medlem
Skrivet av Christley:

det kräver ändå en hel del setup, även om det finns guider. och det kräver att du känner dig säker med vad du gjort. jag anser min router som first line of defence och därför litar jag hellre på företag som vet vad dom gör än mig själv som kan missa något.
konfigureringstiden på en pfsense är också mycket längre än en vanlig router och sen kräver det extra hårdvara som kan kosta en hel del mer än en normal router

Framförallt kräver det en separat enhet av något slag (rackserver, gammal oanvänd dator, möjligen NAS med stöd för VMs), som tar upp plats, drar el och låter, vilket kan vara ett problem, speciellt i lägenhet. Små platslådor med spoilers och gåfort-ränder från t.ex. Asus eller Netgear är mer anpassade för en hemmamiljö då de är små och tysta och drar lite ström.

Hos mindre företag är ju oftast router och fw kombinerad och det fungerar utmärkt (säkerhetshål upptäcks naturligtvis då och då, detta är nästan oundvikligt). Problemet är nog att tillverkare av billiga "konsumentroutrar" inte bryr sig om säkerheten lika mycket. Så är man orolig för säkerheten hemma kanske det smidigaste är att köpa en enkel företags fw/router (de är relativt små och tysta), en enkel switch och en "ren" Wi-Fi AP utan inbyggd routerfunktion, snarare än att sätta upp en till firewall för att skydda sin firewall/router.

Dock för en privatperson är nog olika typer av phishing-attacker eller att lösenordet är en del av något större intrång hos någon stor tjänsteleverantör större säkerhetsproblem. Man råkar som privatperson inte ut för riktade attacker och dataintrång på samma sätt som företag. Dessutom har Windows, macOS och många Linuxsystem en egen firewall aktiverad som standard, så även om nån breachar routern kan de inte göra så mycket.

Visa signatur

Ryzen 7 3800X, Asus Prime X370 Pro, 32 GB LPX 3600, Gainward RTX 3060 Ti Ghost, 7 TB SSD + 4 TB HDD

Permalänk
Skrivet av Zotamedu:

Extra illa att man generellt är tvingad att ha skiten också om man samtidigt vill använda andra av deras tjänster som TV och IP-telefoni. Är det bara bredband kan man i alla fall brygga skiten.

Går att brygga om man har de andra tjänsterna med. Kör min Telia-router i bryggat läge där TVn fortfarande är inkopplad i den. Och min egna router sen är inkopplad i en viss LAN-port som då får extern access.

Permalänk
Medlem
Skrivet av Pepsin:

Framförallt kräver det en separat enhet av något slag (rackserver, gammal oanvänd dator, möjligen NAS med stöd för VMs), som tar upp plats, drar el och låter, vilket kan vara ett problem, speciellt i lägenhet. Små platslådor med spoilers och gåfort-ränder från t.ex. Asus eller Netgear är mer anpassade för en hemmamiljö då de är små och tysta och drar lite ström.

Hos mindre företag är ju oftast router och fw kombinerad och det fungerar utmärkt (säkerhetshål upptäcks naturligtvis då och då, detta är nästan oundvikligt). Problemet är nog att tillverkare av billiga "konsumentroutrar" inte bryr sig om säkerheten lika mycket. Så är man orolig för säkerheten hemma kanske det smidigaste är att köpa en enkel företags fw/router (de är relativt små och tysta), en enkel switch och en "ren" Wi-Fi AP utan inbyggd routerfunktion, snarare än att sätta upp en till firewall för att skydda sin firewall/router.

Dock för en privatperson är nog olika typer av phishing-attacker eller att lösenordet är en del av något större intrång hos någon stor tjänsteleverantör större säkerhetsproblem. Man råkar som privatperson inte ut för riktade attacker och dataintrång på samma sätt som företag. Dessutom har Windows, macOS och många Linuxsystem en egen firewall aktiverad som standard, så även om nån breachar routern kan de inte göra så mycket.

just att det måste vara rackserver eller gammal dator behöver inte stämma. låtande datorer behöver inte heller stämma (tex denna https://www.aliexpress.com/item/Intel-Broadwell-Core-I3-4005U...
men visst drar den extra el och är ganska dyr för det "lilla" den gör

Visa signatur

Min dator: Silent Base 600 | 1700X @ 3.9Ghz | MSI Gaming X 1080TI | RM750X | 512Gb M2 | 16Gb 3200mhz Ram | S34E790C @ 3440x1440
Tjejens dator: Define r4 | i5 3570k @ 4.2ghz | GTX Titan | 750w Supernova | 240gb SSD | 32gb ram
Citera/Tagga för svar!

Permalänk
Skrivet av aragon:

kör man med vanlig router, är det dd-wrt som gäller.
Dock föredrar jag pfsense

/

Alternativt OpenWRT som folk verkar missat helt här på Sweclockers.

DD-WRT var skit att komma igång med på min router, men OpenWRT går stabilt utan problem och ger bättre möjligheter än stock firmware

Skickades från m.sweclockers.com

Permalänk
Skrivet av Baxtex:

Tur man använder DD-WRT på sin Netgear R7000 då.

Nej nu har jag väntat för jävla länge! Detta var droppen, byter också nu! Önska mig lycka till

EDIT: Har läst på lite för ett tag sen, men nu går det runt i huvudet. Vad är för och nackdelar med OPEN-wrt och DD-WRT? Jag har kört DD-WRT för ett tag sen på en netgear N600 och en linksys g54. Så kan DD-WRT

EDIT 2: Eftersom ingen ville svara så gick jag på DD-WRT och är fantastik!
Behöver dock justera lite wifi inställningar. 5Ghz bandet verkar vara lite slöare

EDIT 3: Fan DD-WRT verkar inte kunna använda kanalerna över 64. Vet att det gjorde ganska mycket när netgear uppdaterare r7000 routern. Det är för många routers i mitt område som använder dem första 64 kanalerna på 5Ghz frekvenserna. Så att ligga på över 64 kanalerna gjorde mycket. SYND :/

Visa signatur

Intel i7 8700k @ 5.0GHz | Asus Rog Strix Z370-H | FD R5 | Strix Gtx 1080 ti | 16Gb Corsair Vengeance LPX 3600Mhz | Samsung 850-Series EVO 500GB | WD Caviar Black 500Gb | WD RE4 1TB x2 i Raid 1 | MK-85 <3 Cpu-Z Gamla

Citera, annars kommer jag inte tillbaka!

Permalänk
Medlem
Skrivet av Swedishg33k95:

Nej nu har jag väntat för jävla länge! Detta var droppen, byter också nu! Önska mig lycka till

EDIT: Har läst på lite för ett tag sen, men nu går det runt i huvudet. Vad är för och nackdelar med OPEN-wrt och DD-WRT? Jag har kört DD-WRT för ett tag sen på en netgear N600 och en linksys g54. Så kan DD-WRT

EDIT 2: Eftersom ingen ville svara så gick jag på DD-WRT och är fantastik!
Behöver dock justera lite wifi inställningar. 5Ghz bandet verkar vara lite slöare

EDIT 3: Fan DD-WRT verkar inte kunna använda kanalerna över 64. Vet att det gjorde ganska mycket när netgear uppdaterare r7000 routern. Det är för många routers i mitt område som använder dem första 64 kanalerna på 5Ghz frekvenserna. Så att ligga på över 64 kanalerna gjorde mycket. SYND :/

Kolla dd-wrt forumen, det går men tror du måste ställa in ett visst land.

Permalänk
Medlem

Nu verkar det som den riktiga uppdateringen har kommit, har uppdaterat. Men den kom inte fram automatiskt när jag loggade in på routern utan fick söka trycka på knappen söka efter uppdateringar.

Skönt att man inte behövde vänta ännu längre....

Visa signatur

Chassi : BitFenix Prodigy Svart mITX Moderkort : Asus P8Z77-I DELUXE mITX CPU : Intel Core i7 3770K RAM : Crucial 16GB (2x8192MB) CL9 1600Mhz Ballistix Sport

Permalänk
Medlem

Intressanta saker i den här tråden, att folk lirar på Telia som hade så enorma säkerhetsbrister att de fick göra om hela sin lösenordsprincip, någon slags övertro till att Asus skulle vara fullständigt perfekta, att *WRT eller pfSense faktiskt skulle vara ett reellt alternativ för en vanlig användare, men framförallt verkar det ha undgått nästan alla att detta är ett hål som kräver att man redan har tillgång till nätverket inifrån!
Som varenda människa med någon kunskap om säkerhet över huvudtaget vet betyder fysisk tillgång ändå att man kan komma åt "allt" på olika sätt. Många andra tillverkare har under överskådlig tid haft MYCKET värre säkerhetshål. Men jag vet inte vad grejen är här, är Netgear det nya D-Link? Av tråden är döma verkar det populärt att hata dem just nu iaf.
Jag blir faktiskt besviken på nivån här, vi kan bättre.

Visa signatur

11600K@5.1 GHz + 32GB Corsair Vengeance RGB PRO 3200@3400 MHz + MSI RTX 2080 Super Gaming X Trio +
WDC Blue SN550 1TB + Black OEM SN730 500GB + Kingston A1000 480GB + A2000 500GB + NV2 1TB + 2TB R10 + RGB most of THE THINGS! + Corsair 4000D Airflow + 2*ZyXEL NSA326 2*3TB @ R1 + Netgear RN2100 4*3TB @ R10 + RN204 4*4TB @ R5 + Synology DS216j 2*4TB @ SHR R1 + DS418 4*8TB @ SHR R6
| tmp: R5 3600@4.2 GHz + 32GB 2666@3066MHz + 1060 6GB@2100/4500MHz + 1 TB NV2 & 512GB SN730

Permalänk
Hedersmedlem
Skrivet av ZaInT:

Intressanta saker i den här tråden, att folk lirar på Telia som hade så enorma säkerhetsbrister att de fick göra om hela sin lösenordsprincip, någon slags övertro till att Asus skulle vara fullständigt perfekta, att *WRT eller pfSense faktiskt skulle vara ett reellt alternativ för en vanlig användare, men framförallt verkar det ha undgått nästan alla att detta är ett hål som kräver att man redan har tillgång till nätverket inifrån!
Som varenda människa med någon kunskap om säkerhet över huvudtaget vet betyder fysisk tillgång ändå att man kan komma åt "allt" på olika sätt. Många andra tillverkare har under överskådlig tid haft MYCKET värre säkerhetshål. Men jag vet inte vad grejen är här, är Netgear det nya D-Link? Av tråden är döma verkar det populärt att hata dem just nu iaf.
Jag blir faktiskt besviken på nivån här, vi kan bättre.

Om du med "folk" menar mig så handlar det om att Telia uppdaterar firmware regelbundet och automatiskt om man kör deras grejer, alltså inget man kan strunta i eller glömma. Så fungerar det varken med Asus eller Netgear t ex. Säkerhetsproblem upptäcks fortlöpande även i den bästa utrustning, därför är det viktigt att uppdateringarna inte lämnas åt användarnas godtycke (om man inte aktivt väljer den vägen).

Visa signatur

W10, Intel 5820K, Asus X99-S, Crucial DDR4 2133MHz 32GB, Sapphire 290X Tri-X, Intel 730 SSD, WD Black+Green+HGST, Silverstone FT02, Corsair AX1200, Corsair K90, Logitech MX518, Eizo 2736w, Eaton 5115 UPS. Pixel 7 pro

Permalänk
Medlem

@MultiMan: I gengäld tvingas du använda den obehagligt dåliga routern Telia skickar med, och då föredrar jag helt ärligt bakdörrar men jag håller med om att det borde finnas någon slags automatisk uppdateringsfunktion för SOHO-routrar generellt. Dock hamnar vi då i dilemmat; när ska enheten startas om?
Ingen här är väl speciellt glad för Windows Updates tvingande omstarter och om mitt nät helt plötsligt skulle dö för att tillverkaren/ISPn känner för att uppgradera skulle det inte ta många sekunder innan jag bytt router/sagt upp mitt abonnemang.
Men nu när jag tänker efter vill de flesta tillverkare att man registrerar sina produkter i samband med installation, och jag skulle tro att de har skickat ut e-post gällande detta till de kunder som registrerat sig.

Jag vidhåller dock att detta är nästintill ett icke-problem, om någon redan är i ditt nätverk är de med största sannolikhet i ditt hem, och om de har den tekniska kompetens som krävs för att utnyttja den här buggen kan de ändå med största sannolikhet kan koppla in en TP, plantera en RPi med reverse SSH eller dylikt.
Då är det värre med både Telias/BBBs skräp, ASUS tidigare säkerhetshål etc. där det var via WAN som det fanns en bakdörr, och DET är allvarligt på riktigt.

Jag finner det faktiskt lite komiskt att en moderator på ett forum för datorentusiaster är nöjd med en Technicolorrouter

Visa signatur

11600K@5.1 GHz + 32GB Corsair Vengeance RGB PRO 3200@3400 MHz + MSI RTX 2080 Super Gaming X Trio +
WDC Blue SN550 1TB + Black OEM SN730 500GB + Kingston A1000 480GB + A2000 500GB + NV2 1TB + 2TB R10 + RGB most of THE THINGS! + Corsair 4000D Airflow + 2*ZyXEL NSA326 2*3TB @ R1 + Netgear RN2100 4*3TB @ R10 + RN204 4*4TB @ R5 + Synology DS216j 2*4TB @ SHR R1 + DS418 4*8TB @ SHR R6
| tmp: R5 3600@4.2 GHz + 32GB 2666@3066MHz + 1060 6GB@2100/4500MHz + 1 TB NV2 & 512GB SN730