De meeste routerfabrikanten geven aan dat ze oudere versies van OpenSSL gebruiken. Sommige kunnen echter niet het bewijs leveren dat hun apparaten niet kwetsbaar zijn. Heb je security hoog in het vaandel staan, dan zul je dus zelf aan de slag moeten en je router testen.
De versleutelingsbibliotheek OpenSSL speelt bij routers een belangrijke rol. Deze software zorgt er mede voor dat je veilig op je router kunt inloggen en instellingen kunt wijzigen zonder dat anderen het verkeer kunnen meelezen. OpenSSL is daarom een cruciale schakel in de keten die ervoor zorgt dat het verkeer van en naar je router versleuteld wordt. Zowel binnen je thuisnetwerk als via internet. Sommige routers gebruiken SSL echter ook om versleuteld te kunnen communiceren met clouddiensten van de fabrikant of voor het opbouwen van VPN-verbindingen, bijvoorbeeld voor OpenVPN.
Gebruikt een router een kwetsbare versie van OpenSSL (1.0.1 tot 1.0.1f ), dan kunnen aanvallers via de HeartBleed-bug toegang krijgen tot geheime serversleutels, wachtwoorden of andere gegevens die eigenlijk versleuteld verzonden moeten worden. Kun je de router ook via internet beheren, dan kunnen aanvallers met het configuratiewachtwoord van de router nog meer naars uithalen. Denk bijvoorbeeld aan het wijzigen van de DNS-server, zodat pc’s omgeleid worden naar speciaal geprepareerde servers, of het manipuleren van VoIP-telefonie zodat de aanvaller naar zijn dure betaalnummers kan laten bellen op jouw kosten.
Gerenommeerde merken
De meeste routerfabrikanten geven aan dat hun routers niet kwetsbaar zijn. Maar dat geldt niet voor alle routers. Bij sommige apparaten van Buffalo is het opletten geblazen. In de apparaten van Buffalo met het eigen besturingssysteem van de fabrikant worden oudere en niet kwetsbare OpenSSL-versies gebruikt. Sommige modellen zijn echter ook leverbaar met het besturingssysteem DD-WRT waarin volgens Buffalo wel de kwetsbare OpenSSL-versies wordt gebruikt. Het bedrijf verwacht dat de DD-WRT-ontwikkelaars de versies snel zullen updaten. DD-WRT heeft OpenSSL in hun eigen repository al naar een gerepareerde versie geüpdatet, maar volgens de ontwikkelaars kan het nog een paar dagen duren voor de update voor elk routermodel is bijgewerkt.
Netgear laat weten dat hun routers niet kwetsbaar zijn. Dat geldt daarentegen wel voor veel NAS-systemen van het bedrijf. Nadere details zijn niet bekend, alleen de getroffen ReadyNAS series worden gemeld. Voor deze serie is nieuwe firmware uitgebracht (versie 6.1.7), die het gat in de beveiliging dicht. Oudere ReadyNAS-modellen worden niet beïnvloed door de HeartBleed-bug.
Geen of nauwelijks informatie
Slechts vier van de veertien ondervraagde fabrikanten bieden gebruikers inmiddels een methode om te controleren welke OpenSSL-versie hun apparaat gebruikt. Bij Asus en DrayTek kun je het met een commando in een Telnet- of SSH-sessie uitlezen, terwijl AVM en Belkin deze informatie aanbieden in het begeleidende schrijven bij door hen gebruikte opensource software.
Sommige fabrikanten houden hun mond stijf dicht en stellen keihard dat hun apparaten niet kwetsbaar zijn. Apple heeft tot dusver nog niet gereageerd. Edimax deed dat pas na verschijnen van deze bijdrage.
Of je router kwetsbaar is, kun je snel achterhalen met filippo.io/Heartbleed of possible.lv/tools/hb. Wil je apparatuur testen die niet via internet toegankelijk is, dan kun je ook de Python-tool hb-test.py gebruiken. De tool is ook geschikt om de SSL-varianten van de protocollen SMTP, POP3, IMAP, FTP en XMPP te testen.
Kwetsbaar. En dan?
Als je router kwetsbaar blijkt te zijn, schakel dan eerst alle functies uit waarover je je router via internet kunt beheren. Als alternatief voor remote beheer kun je switchen naar een VPN-verbinding via IPSec. (odi/ple)
