Routers bestemd voor thuisgebruik en kleine kantooromgevingen worden veelal geleverd zonder goed beveiligde firmware. Dit blijkt uit onderzoek van beveiligingsexperts van het Cyber Independent Testing Lab (Cyber-ITL).
Veel routers zijn niet voorzien van Linux-functies gericht op een goede hardwarebeveiliging. Denk dan aan ASLR (Address Space Layout Randomization), DEP (Data Execution Prevention), RELRO (RELocation Read-Only) en stack guards.
Onderzoekers van Cyber-ITL analyseerden de firmware van in totaal 28 populaire routers van onder meer Asus, D-Link, Linksys, Netgear, Synology en TP-Link. Het onderzoek bracht het aantal firmwarecodes dat wordt beschermd door de vier bovengenoemde beveiligingsfuncties in kaart.
“De afwezigheid van deze beveiligingsfuncties is onvergeeflijk. De functies die in dit rapport worden besproken, zijn gemakkelijk te implementeren en hebben geen nadelen. In andere marktsegmenten is het wel standaard inbegrepen, denk dan aan desktop- en mobiele software”, aldus onderzoekers Parker Thompson en Sarah Zatko in een reactie aan ZDNet.
Inconsistentie
Sommige routers boden 100 procent ondersteuning voor één van de functies, maar geen enkele router scoorde 100 procent op alle vier de functies.
Opvallend genoeg is er binnen de routermerken sprake van inconsistenties bij het toepassen van de vier beveiligingsfuncties. Zo toont het onderzoek aan dat sommige routermodellen van een leverancier extreem hoog scoren, terwijl andere vrijwel geen bescherming bieden.
Linksys WRT32X
Van de 28 geanalyseerde modellen komt de Linksys WRT32X als beste uit de bus. Deze router heeft volgens het onderzoek een DEP-bescherming van 100 procent voor alle binaire firmware, een RELRO-bescherming van 95 procent en een stack guards-bescherming van 82 procent. De ASLR-bescherming daarentegen scoort laag, met slechts 4 procent.
De resultaten tonen ook aan dat de beperkte hardwarebronnen op routers geen excuus zijn voor het verschepen van routerfirmware zà³nder verbeterde hardwarebeveiliging. Routers zouden volgens het onderzoek gewoon kunnen profiteren van dezelfde OS-verhardende functies die Linux levert aan desktop- en serverversies.
MIPS Linux
Tijdens het onderzoek kwamen de onderzoekers ook nog een kwetsbaarheid tegen bij routers die gebruik maken van MIPS Linux-kernelversies van 2001 tot 2016, die DEP-bescherming onmogelijk maakt.
Inmiddels zou de MIPS Linux-kernelpatch van 2016 de DEP-bescherming weer hebben ingeschakeld. Helaas kwam deze patch met een nieuwe bug, die een aanvaller in staat stelt zowel DEP- als ASLR-beveiliging te omzeilen. De onderzoekers hebben deze MIPS Linux-bug gedetailleerd beschreven in een afzonderlijk onderzoekspaper.
Gerelateerd: Duitsland stelt waslijst aan regels en aanbevelingen op om routers veiliger te maken