News Firmware Updates erforderlich: Router von Asus und Huawei mit kritischen Sicherheitslecks

[Willmehr]

@MichaG...Danke für die Info !

 

[HasleRuegsau]

Ich finde es sehr lobenswert wie Asus ihre Router patcht. Erstens sind die Geräte sehr lange supportet (im Gegensatz zu deren Motherboards) und zweitens gibt es regelmässig Patches.

 

[Haldi]

Absolut unfundierte Aussage von Dir -

Naja nein.
Ich wette mit dir das 99.99% aller Router im Einsatz NIE ein Firmware Update bekommen werden. Weil es einfach niemand macht.
Ich würde sogar mal behaupten das bei 99% aller Router noch nie das WebInterface aufgerufen wurde.

Da ist es halt dann doch so das wenn man einen OpenWRT Router oder andere custom Firmware benutzt öfters mal drauf schaut und dann auch gleich ein Update macht.

 

[sereX]

Kommt mit dem Update auf Huawei die Spionage?

Nicht dass die EU noch verlangt das wir alle unsere Huawei Router und Handys auswechseln?

 

[Marco01_809]

Stimmt die hatten ja auch noch nie ne Lücke

https://www.helpnetsecurity.com/2020/04/01/cve-2020-7982/

Absolut unfundierte AUssage von Dir - die haben alle Lücken, und die ser Glaube OpenSource sei per se sicherer ist auch reichlich naiv. Kann zwar jeder schauen, machen halt nur nicht so viele...

Die Hersteller-Firmwares nutzen teilweise die gleichen Open-Source Komponenten wie OpenWRT, sprich Linux, dnsmasq & Co. D.h. die haben schonmal die Hälfte der Lücken die auch OpenWRT betreffen. Die Firmwares sind übrigens auch zum Teil Open-Source da die Hersteller dank GPL dazu gezwungen werden.

Hier gibt es eine größere Liste mit CVEs: https://openwrt.org/docs/guide-developer/security. Nicht alle betreffen die Standardinstallation da einige nur in zusätzlich installierbaren Paketen sind.
Die meisten Lücken sind in Linux (unvermeidbar bei dem riesen Feature-Set dass der Kernel mittlerweile hat), SSL/TLS-Library oder dnsmasq.

Aber on top kommt noch der ganze amateurhafte Pfusch wie backdoor daemons, hardcoded "recovery" credentials, und blutige Anfänger Fehler in ihrer eigenen UI wie path traversals und command injection und und und

Router-Firmwares kriegen nur äußerst selten Updates und auch nur wenn Sicherheitsforscher explizit darauf hinweisen dass genau diese Geräte betroffen sind. OpenWRT aktualisiert mit jedem Release (etwa einmal im Jahr) jegliche Software auf den aktuellsten Stand (+ Sicherheitsupdates und kritische Bugfixes dazwischen). Ich meine in diesen Updates hier wird CVE-2018-1160 behoben. Die 2018 steht für 2018, das Jahr in dem Lücke bekannt wurde!

 

[mux]

Sehe grad, dass mein Asus RT-AC66U End-of-life ist. Hatte ich gar nicht mitbekommen. Dieser hängt aber hinter einem DrayTek Vigor166-Modem mit Firewall. Sollte das trotzdem ein Sicherheitsproblem sein?
Habe echt noch nicht so den Durchblick bei Netzwerk-Sachen. (Da ein NAS angeschafft werden soll, werde ich mich da aber einlesen müssen.)
VPN und Fernzugriff aufs NAS wollte ich schon mal nutzen...

Brächte es Sicherheit Asuswrt-Merlin auf den Router zu hauen? Hier gibts 'ne LTS-Version für ältere Router: https://www.snbforums.com/threads/fork-asuswrt-merlin-374-lts-release-53d1.76814/

 

[Stefan1200]

Sehe grad, dass mein Asus RT-AC66U End-of-life ist. Hatte ich gar nicht mitbekommen. Dieser hängt aber hinter einem DrayTek Vigor166-Modem mit Firewall. Sollte das trotzdem ein Sicherheitsproblem sein?

Also je weniger Dienste du auf dem Asus Router nutzt (sprich je mehr Funktionen konkret abgeschaltet sind) und je weniger davon aus dem WAN (also Internet) erreichbar sind, umso weniger Angriffsfläche hat der Asus Router. Solltest du den Asus Router gar nur als WLAN Access Point und sonst nichts nutzen, würde ich das Risiko an einem privaten Ort (eigene Wohnung, Haus, etc.) vernachlässigen. Sollte der ASUS Router gar in einer DMZ stehen und gar keinen Zugriff auf das produktive LAN oder andere produktive Dienste haben (um zum Beispiel nur ein physikalisch getrenntes Gäste WLAN bereitzustellen), ist das Risiko nochmal weitaus niedriger einzuschätzen.

 

[DFFVB]

Ich wette mit dir das 99.99% aller Router im Einsatz NIE ein Firmware Update bekommen werden. Weil es einfach niemand macht.

Es ist ein Unterschied, ob der Hersteller eine bereitstellt, oder nicht, und ob ich es einspiele. Wollen vs. können. Hier geht es um die Frage, ob die Hersteller Update sbereitstellen oder nicht. Und das tun sie. Weiter geht es um die Aussage, dass die Hersteller es nicht gebacken bekommen - tut wohl keiner.

Da ist es halt dann doch so das wenn man einen OpenWRT Router oder andere custom Firmware benutzt öfters mal drauf schaut und dann auch gleich ein Update macht.

Falsch - ansonsten wäre ja Deine Aussage, dass es zwischen Firmwareupdate einspielen und OpenWRT aufsetzen keinen Unterschied gibt. Und den gibt es! BTW: Die Fritzbox spielt Update smittlerweiel automatisert ein ;-)

Router-Firmwares kriegen nur äußerst selten Updates und auch nur wenn Sicherheitsforscher explizit darauf hinweisen dass genau diese Geräte betroffen sind.

Siehe oben, falsch, schau doch mal in die releases der großen Hersteller....

BTW https://www.cvedetails.com/vulnerability-list/vendor_id-18578/Openwrt.html

Auch OpenWRT lässt sich teilweise Zeit ;-)

 

[Haldi]

BTW: Die Fritzbox spielt Update smittlerweiel automatisert ein ;-)

Was ja scheinbar auch die einzige möglichkeit ist das Updates gemacht werden^^

 

[DFFVB]

Nein nicht wirklich

 

[JiSiN]

Asus RT-AC68U kam 2013/2014 auf den Markt.
Letzte FW (bis jetzt) --> 3.0.0.4.386.51665 2023/05.
Oder Merlin FW 386.11 (14 Mai 2023).
Da kann ich also nicht meckern

 

[BrollyLSSJ]

Ui, teilweise 9 Jahre Support bei ASUS Routern ist in der Tat eine Hausnummer. Da kann ich nur bei meinem TP-Link von träumen.

 

[DLMttH]

Dieser hängt aber hinter einem DrayTek Vigor166-Modem mit Firewall

Vorsicht, wenn du den Vigor als Modem (full bridge) und nicht als Router nutzt, dann ist die Firewall nicht im Betrieb.

 

[mux]

@DLMttH: Bridge-Modus, ja. Geht ja nicht anders. Da muss ich mich mal kümmern. Gar kein Bock drauf... Bei Netzwerktechnik hab ich irgendwie Probleme mich da reinzufinden
Ist denn die Asuswrt-Merlin LTS-Firmware eine Möglichkeit einen nicht mehr supporteten Router abzusichern?
Oder wäre das dann trotzdem nur Flickwerk und man könnte diese Router nur noch in der Elektroschrott geben? Ich finde den Spitze und er läuft, und mein Raspi hängt dort auch noch dran

 

[JiSiN]

Für ältere Asus Modelle wäre vielleicht FreshTomato noch eine alternative.
https://www.freshtomato.org

Hier gibt es sogar noch eine 2023 FW für den Asus RT-N66U (kam 2011 raus).
Wenn ich mich nicht täusche war der RT-N66U mein erster Asus Router

 

[mux]

Das sieht gut aus. Sehr cool! Mein Router wird noch unterstützt, wie ich grad gesehen habe 👍
Dann werde ich mich doch mal an ein Firmwarewechsel und eine Neueinrichtung wagen (müssen).
Doch keinen Elektronikschrott fabriziert - dann steigt auch die Motivation

 

[Stefan1200]

Für ältere Asus Modelle wäre vielleicht FreshTomato noch eine alternative.
https://www.freshtomato.org

Sehr cool, leider wird mein RT-AC87U nicht unterstützt.

 

[DerRobert94]

Mal eine Frage, ist das Asus DSL-AC82U jetzt nicht betroffen oder doch? Wie ich mal verstanden habe sind diese nahezu Baugleich (eben Plus das Modem) und demnach fast dieselbe Software? Und wie verhält sich das ganze bei Merlin? Ich bin mir jetzt nicht sicher ob der Router von den Lücken betroffen ist oder nicht, die entsprechende Asus Homepage listet seit längeren keinerlei Updates mehr.

 

[DerRobert94]

Keiner ne Idee?

 

[Engaged]

Wäre zumindest ein armutszeugnis wenn sie irgendwelche Geräte mit der gleichen Lücke einfach ohne Support offen stehen lassen.