TP-Link-routers die kwetsbaar zijn voor aanvallen op afstand, maar ook voor gebruikers
Duizenden TP-Link-routers, een van de meest voorkomende en aantrekkelijk geprijsde apparaten voor thuisnetwerken, kunnen kwetsbaar zijn. Blijkbaar kan een bug in de niet-gepatchte firmware mogelijk zelfs gebruikers op afstand die op internet rondsnuffelen, de controle over het apparaat overnemen. Hoewel het bedrijf aansprakelijk kan zijn voor de beveiligingsfout, hebben zelfs de kopers en gebruikers gedeeltelijk schuld, geven beveiligingsanalisten aan die hetzelfde ontdekten.
Sommige TP-Link-routers die niet zijn bijgewerkt, kunnen kennelijk worden aangetast vanwege een beveiligingsfout. Door de kwetsbaarheid kan elke laaggeschoolde aanvaller op afstand volledige toegang krijgen tot de router met de fout in de firmware. De bug is echter ook afhankelijk van de nalatigheid van de eindgebruiker van de router. Beveiligingsonderzoekers merkten op dat de exploit de gebruiker nodig heeft om de standaard inloggegevens van de router te behouden om te werken. Onnodig te zeggen dat veel gebruikers nooit het standaardwachtwoord van de router wijzigen.
Andrew Mabbitt, de oprichter van het Britse cyberbeveiligingsbedrijf Fidus Information Security, was de eerste die het beveiligingslek in TP-Link-routers identificeerde en rapporteerde. In feite had hij al in oktober 2017 officieel de uitvoering van externe code aan TP-Link bekendgemaakt. Met hetzelfde besef had TP-Link een paar weken later een patch uitgebracht. Volgens het rapport was de kwetsbare router de populaire TP-Link WR940N. Maar het verhaal eindigde niet met WR940N. Routerfabrikanten gebruiken routinematig dezelfde regels code in verschillende modellen. Dit is precies wat er gebeurde, aangezien de TP-Link WR740N ook kwetsbaar was voor dezelfde bug.
Onnodig toe te voegen, elk beveiligingsprobleem in een router is enorm gevaarlijk voor het hele netwerk. Het wijzigen van instellingen of het knoeien met de configuraties kan de prestaties ernstig belemmeren. Bovendien kan het discreet wijzigen van DNS-instellingen gemakkelijk nietsvermoedende gebruikers naar neppagina's van financiële diensten of andere platforms leiden. Verkeer naar dergelijke phishing-sites leiden is een van de manieren om inloggegevens te stelen.
Het is interessant om op te merken dat hoewel TP-Link vrij snel was om de beveiligingslek in zijn routers te patchen, de gepatchte firmware tot voor kort niet openlijk beschikbaar was om te downloaden. Blijkbaar was de gecorrigeerde en bijgewerkte firmware voor WR740N, die het immuun maakt voor de exploit, niet beschikbaar op de website. Het is zorgwekkend dat TP-Link de firmware alleen op verzoek beschikbaar heeft gesteld, zoals aangegeven door een TP-Link-woordvoerder. Toen hem werd gevraagd, verklaarde hij dat de update "momenteel beschikbaar was op verzoek van technische ondersteuning".
Het is gebruikelijk voor routerfabrikanten om firmwarebestanden via e-mail te verzenden naar klanten die naar hen schrijven. Het is echter absoluut noodzakelijk dat bedrijven gepatchte firmware-updates op hun websites vrijgeven en, indien mogelijk, gebruikers waarschuwen om hun apparaten bij te werken, aldus Mabbitt.