Asuksen RT-N10E WLAN -reitittimestä löytynyt haavoittuvuus, ohjeet päivitykseen

09.10.2013 11:26 | Sampsa Kurri | 6

Viestintävirastossa toimiva kansallinen tietoturvaviranomainen CERT-FI on julkaissut haavoittuvuustiedotteen, joka koskee Suomessa erittäin suosittua Asuksen RT-N10E WLAN -reititintä. Muropaketin Hintavertailun mukaan laitteen hinta on alkaen 16,30 euroa.

Haavoittuvuuden avulla reitittimen web-pohjaiseen hallintakäyttöliittymään on mahdollista kirjautua ilman käyttäjätunnusta ja salasanaa. Reitittimen hallintakäyttöliittymä on oletuksena käytettävissä vain reitittimen lähiverkosta, mutta jos hallintakäyttöliittymä on asetettu näkymään myös internetin suuntaan, voi hyökkääjä saada reitittimen ylläpitotunnukset haltuunsa ilman kirjautumista järjestelmään.

Haavoittuvuus koskee RT-N10E WLAN-reitittimen ohjelmistoversioita ennen versiota 2.0.0.25 ja ratkaisuna on korjaavan ohjelmistoversion päivitys. Valmistajan ohjeet ohjelmistoversion päivitykseen löytyvät täältä.

CERT-FI, Haavoittuvuus ASUS RT-N10E WLAN-reitittimessä

Asus, RT-N10E-tuotesivu

Keskustelu

Jahas, just viikonloppuna ostin tämän Kärkkäiseltä kympillä. Pitääpä päivittää.

heh tuohan on aika kesy, oma TP-Linkki hakkeroitiin netin puolelta vaikka käyttöliittymä oli asetettu näkymään vain lähiverkon piuhoille, en ollut niitä oletussalasanoja vaihtanut niin joku vaihtoi ne mun puolesta. Tehdasresetillä siitä selvittiin. Paikallisella ISPllä oli useampi tälläinen tapaus lyhyen ajan sisällä, tekivät oikein tiedotteen asiasta… Ja eipä ollut päivityksiä saatavilla :/

DerMack

heh tuohan on aika kesy, oma TP-Linkki hakkeroitiin netin puolelta vaikka käyttöliittymä oli asetettu näkymään vain lähiverkon piuhoille, en ollut niitä oletussalasanoja vaihtanut niin joku vaihtoi ne mun puolesta. Tehdasresetillä siitä selvittiin. Paikallisella ISPllä oli useampi tälläinen tapaus lyhyen ajan sisällä, tekivät oikein tiedotteen asiasta… Ja eipä ollut päivityksiä saatavilla :/

Mitenniin tuo on kesy? Sinun tapauksessa kyse oli pienen bugin lisäksi vielä huolimattomuudesta.
Security through obscurity – Wikipedia, the free encyclopedia
Security through obscurity has never achieved engineering acceptance as an approach to securing a system

Eli se että näkymä ei normaalisti pitäisi näkyä verkon puolelle ei ole mitään kunnollista tietoturvaa.

Tuossa asuksen tapauksessa pystyi tekemään saman mitä sinullakin vaikka olisi salasanakin vaihdettu.

Noh, suurimmalla osalla muutenkin noi tunnukset admin/admin…

Itekki miettiny ku käytössä on dd-wrt:n softa buffalon routterissa, että pitäisiköhän ostaa joku mini pc kahdella rj45:llä ja laittaa ipcop sisään. Viimesestä dd-wrt päivityksestä on vissiin vuosia. Ei varmaan maksaisi ihan hirveitä, vaikka varmaan 4-5x enemmän kuin ne 50€ "laatu" routterit.

Modeemia ei imo ikinä kannata pitää routtaavassa tilassa (no okei jos on nii pihi ettei viitti ostaa 30-50€ routteria). Kuluttaa turhaan modeemin laskentatehoa ja hyvässä lykyssä tekee yhteydestä epävakaan (varsinkin lämpösillä säillä). bridge tilassa niihin ei vissiin pääse käsiksi internetin tai sisäverkon puolelta kuin usb tms kautta jos valmistaja on sellaisen viitsinyt asentaa.

Muropaketin uusimmat