Bahnhof varnar – Asus-routrar används i DDoS-attacker

Permalänk
Medlem
Skrivet av Herr Kantarell:

Cisco, Linksys, Netgear m.fl. dvs. företag som jobbat med nätverksprodukter i flera år. Asus gör bra moderkort, grafikkort m.m.
Men för att göra inbyggd mjukvara till routrar krävs en del erfarenhet.

Sen gillar jag inte Dlink p.g.a. dåliga erfarenheter även om de gjort nätverksprodukter i många år.

De tre företagen du tar upp gör bra professionella produkter men har ägt konsumentroutrar av alla tre och Linksysen var den som fungerade bäst. Däremot så verkar jag ha otur eller något men så gott som varje router jag ägt har haft en livslängd på cirka två år, därefter dör de helt eller börjar bete sig underligt, gäller även D-Link.
Har däremot haft i labbmiljö professionella produkter från D-link, Netgear och Cisco grejer som fungerat utmärkt.

Nuvarande routern är från Ubiquituiuiuiu (lär mig aldrig vad företaget heter, googling ger mig svaret: ubiquiti), snart tre år gammal och fungerar klanderfritt. Kör även med deras switch och accesspunkt.

Men! Måste tillägga en sak, problemet många gör (inkl. mig förut) är att man kör alla anslutningar genom routerns interna portar istället för att använda en extra switch / accesspunkt, detta gör att vi belastar routerns processor onödigt mycket.
Bodde tidigare på två orter varav ena stället hade bara ADSL med ett konstant problem där ADSL-modem/routern flaskhalsade titt som tätt och det var som att någon ströp datatrafiken. Köpte då en billig 5-portars switch och problemet försvann nästan helt, trådlösa var fortfarande inget att hänga i granen.

Permalänk
Medlem

Asus må vara sisådär på säkerhet. Men jämför jag Asus och Netgears GUI så är min önskan mer att strypa Netgears r&d hellre än Asus. 2019 och Netgears har ett GUI som ser ut och är motsvarande intuitivt som ett GUI hämtat direkt från 90-talet..

Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av Pnorberg:

Men! Måste tillägga en sak, problemet många gör (inkl. mig förut) är att man kör alla anslutningar genom routerns interna portar istället för att använda en extra switch / accesspunkt, detta gör att vi belastar routerns processor onödigt mycket.
Bodde tidigare på två orter varav ena stället hade bara ADSL med ett konstant problem där ADSL-modem/routern flaskhalsade titt som tätt och det var som att någon ströp datatrafiken. Köpte då en billig 5-portars switch och problemet försvann nästan helt, trådlösa var fortfarande inget att hänga i granen.

Nja...

På min Asus-router är CPU-staplarna knappt ens synliga, så att den skulle vara särskilt hårt belastad trots att allt går genom den, det tror jag inte på. Om man sätter en switch efteråt går ju ändå allt genom routern först...

Permalänk
Medlem
Skrivet av Nivity:

Konstigt, hade en RT-N56U förr som jag aldrig behövde starta om och som aldrig strulade.
Antar att jag bara hade tur, men var inga problem med RT-AC68U heller, antar att jag hade tur igen ¯\_(ツ)_/¯

Några timmar la jag aldrig ner heller på dom.

Eller hur? Har samma router. Pluggade in den när jag flyttade in, och har nästan glömt bort att jag har en.

Permalänk
Medlem
Skrivet av cyklonen:

Nja...

På min Asus-router är CPU-staplarna knappt ens synliga, så att den skulle vara särskilt hårt belastad trots att allt går genom den, det tror jag inte på. Om man sätter en switch efteråt går ju ändå allt genom routern först...

Nja, trafiken går genom routern ja men hanteringen till olika enheter sköts genom switchen istället för att routern tar hand om det, d.v.s. routern gör vad den ska göra, föra trafiken från en punkt till en annan (t.ex. mellan olika nätverk) medan switchen fördelar trafiken inom subnätet. Belastningen skickas alltså vidare från routern till switchen och/eller accesspunkten.

Permalänk
Medlem

Snor uppmärksamhet från er som också har en RT-68 och ber er hjälp, tack.
https://www.sweclockers.com/forum/trad/1576531-rt-ac68

Permalänk
Medlem

Finns det någon mer information om säkerhetshålet? Gissar att det är någon av de fräsiga AiCloud funktionerna som exploitas?

Permalänk
Medlem
Skrivet av Pnorberg:

De tre företagen du tar upp gör bra professionella produkter men har ägt konsumentroutrar av alla tre och Linksysen var den som fungerade bäst. Däremot så verkar jag ha otur eller något men så gott som varje router jag ägt har haft en livslängd på cirka två år, därefter dör de helt eller börjar bete sig underligt, gäller även D-Link.
Har däremot haft i labbmiljö professionella produkter från D-link, Netgear och Cisco grejer som fungerat utmärkt.

Nuvarande routern är från Ubiquituiuiuiu (lär mig aldrig vad företaget heter, googling ger mig svaret: ubiquiti), snart tre år gammal och fungerar klanderfritt. Kör även med deras switch och accesspunkt.

Men! Måste tillägga en sak, problemet många gör (inkl. mig förut) är att man kör alla anslutningar genom routerns interna portar istället för att använda en extra switch / accesspunkt, detta gör att vi belastar routerns processor onödigt mycket.
Bodde tidigare på två orter varav ena stället hade bara ADSL med ett konstant problem där ADSL-modem/routern flaskhalsade titt som tätt och det var som att någon ströp datatrafiken. Köpte då en billig 5-portars switch och problemet försvann nästan helt, trådlösa var fortfarande inget att hänga i granen.

Jo ubiquiti verkar intressanta har känt till dem ett tag. Bra tips med extra switch.

Permalänk
Medlem

Bytte asus firmware mot openwrt på min ac58u i våras, funkar jätte bra. (undvik dock just denna router)

Permalänk
Medlem

Hmm sist jag uppdaterade firmware på mon router så tvärdog den så jg fick en ny

Skickades från m.sweclockers.com

Permalänk
Medlem

Bra att den funkar till nåt, för att dela ut internet här hemma är det sista den gör........

Permalänk
Medlem

Mitt bidrag i tråden/ämnet och berör inte Bahnhof utan botnätet I sig som spänner över flera ISPs, antagligen alla som tillåter kunderna att ha egna routrar.

* Botnätet har DDOS:at mål i andra länder.
* Botnätet är så kraftfullt att om det skulle riktas mot mål i vår närhet skulle det mycket sannolikt sänka målet.
* DDOS-attackerna har pågått till och från men alltid vara i några timmar per tillfälle.
* Det är skadlig kod som installeras. Inte ny firmware.
* Det verkar som uppgradering via webbgränssnittet inte blockeras av skadliga kod.
* För ökad säkerhet, stäng av fjärradministration som tidigare nämnts men även AiCloud-tjänsten.
* Har du utrustning även från "annan stor leverantör" så uppgradera! Speciellt om modellen har samma modellnr som en äldre svensk klassisk bil. 🙄
* Känner du någon som sitter på Asus-router (eller andra märket) , hjälp dom uppgradera och fabriksåterställa! Vi kan alla hjälpas åt att minska storleken på botnätet.

Skickades från m.sweclockers.com

Permalänk
Medlem

Bra varning. Jag hade nog inte upptäckt att ASUS hade en uppdatering annars. Jag kör nu ASUS firmware RT-AC87U_3.0.0.4_382_51939-g3ecf3e2.trx , som kom för några dagar sedan, på min RT-AC87U, i väntan på att Merlin ska få uppdateringen också.

Permalänk
Medlem
Skrivet av DkY:

* Har du utrustning även från "annan stor leverantör" så uppgradera! Speciellt om modellen har samma modellnr som en äldre svensk klassisk bil. 🙄

(eller andra märket)

Varför inte skriva ut hela namnet?

Permalänk
Medlem
Skrivet av Pnorberg:

Men! Måste tillägga en sak, problemet många gör (inkl. mig förut) är att man kör alla anslutningar genom routerns interna portar istället för att använda en extra switch / accesspunkt, detta gör att vi belastar routerns processor onödigt mycket.
Bodde tidigare på två orter varav ena stället hade bara ADSL med ett konstant problem där ADSL-modem/routern flaskhalsade titt som tätt och det var som att någon ströp datatrafiken. Köpte då en billig 5-portars switch och problemet försvann nästan helt, trådlösa var fortfarande inget att hänga i granen.

Routerns processor används inte för att switcha. Det görs som alltid i hårdvara. Det du skriver gäller routrar utan inbyggd switch men med flera interface. Visa mig gärna en sådan som inte riktar sig till avancerade användare.

Permalänk
Medlem

Blev tvungen att kolla hur länge sen jag köpte min 87u, några dagar kvar till 4års dagen(måste ha varit det årets bf, 87an och en Define R5 för 2089 svenska pesetas, tack komplett). Noll strul, har det varit strul så hade exakt varje gång varit på comhems sida som tyvärr är enda alternativet här.

Brukar vara rätt mycket uppkopplat här hemma, 6 telefoner, några slaptops, ett par stationära, en CC4k, tre CCA.

Permalänk
Medlem
Skrivet av LemonIllusion:

Routerns processor används inte för att switcha. Det görs som alltid i hårdvara. Det du skriver gäller routrar utan inbyggd switch men med flera interface. Visa mig gärna en sådan som inte riktar sig till avancerade användare.

Men en switch, även om det är en "dum" switch så har den väl en processor som tar hand om paketen och dirigerar vart de ska skickas? En processor är hårdvara, vad är det annars? Hur ska en switch annars veta till vilken mac-adress som paketet ska till?
Kan inte tänka mig att en konsumentrouter har flera processorer för varje ändamål? Någonstans ska paketen läsas av trots allt.

Varför ska jag leta upp en sådan router som du begär? Förstår inte riktigt vad det har med att lägga till en extra billig switch efter routern?

Skickades från m.sweclockers.com

Permalänk
Hedersmedlem
Skrivet av halvars90:

Första gången jag uppdaterat min router sedan jag köpte den, men det är relativt ny. Känns lite som att intresset att attackera mig som privatperson är så lågt och det finns inget av intresse på min dator/nätverk så jag har aldrig riktigt brytt mig om säkerhet i mitt nätverk. Mail, steam, bank osv är en annan femma.

Det är en vanligt men felaktigt antagande, och just den här artikeln är ett perfekt exempel på hur det kan vara intressant att attackera en vanlig hemanvändare.

Det finns flera anledningar att en hackare skulle vilja ta sig in i din hemrouter, t.ex. att använda din internetanslutning för DDoS-attacker. Hackarna bryr sig i det fallet inte om vem de hackar, bara att det är många, och att de är kopplade till en någolunda snabba anslutningar. Att vi bor i Sverige som har snabba Internetanslutningar till hemmen (särskilt snabb uppladdningshastighet!) och bra anslutningar till omvärlden gör att vi gärna drabbas lite mer än genomsnittet.

En annan anledning att hacka din hemrouter är att göra en DNS-hijack. Det går ut på att man hackar din router och byter ut DNS-servrarna som routern skickar ut till dina datorer via DHCP. När din dator ska göra en DNS-förfrågan (d.v.s. slå upp den IP-address som hör till en webbsida, t.ex. www.sweclockers.com till 158.174.189.9) så skickas denna förfrågan istället till någon hackers server, som kan styra om din Internettrafik till andra sidor. Det kan användas till mycket, t.ex. att spionera på din Internettrafik, försöka droppa malware, eller helt enkelt att styra om annonserna som normalt visas på din anslutning till andra annonser som hackarna får betalt för.

En hackad hemrouter är också en perfekt språngbräda för någon som vill göra olagliga saker på Internet, som t.ex. att hacka datorer, eller att ladda ner eller sprida vissa typer av väldigt olagligt material. Det kan ju leda till att man får en oväntad och oönskad påhälsning av polisen. Sannolikheten att detta drabbar just dig är ju ganska låg, det finns ju ändå många mer sårbara routrar på Internet än det finns skumma typer.

Så även om det är så att intresset att rikta en attack just specifikt mot dig är lågt så finns det många anledningar att hacka en dator/nätverk/router där det inte spelar någon större roll vem det är man hackar. I sådana fall kan målet lika gärna vara du som vem som helst på Internet som är målet. Därför är det viktigt att skydda sig.

Permalänk
Medlem
Skrivet av Pnorberg:

Men en switch, även om det är en "dum" switch så har den väl en processor som tar hand om paketen och dirigerar vart de ska skickas? En processor är hårdvara, vad är det annars? Hur ska en switch annars veta till vilken mac-adress som paketet ska till?
Kan inte tänka mig att en konsumentrouter har flera processorer för varje ändamål? Någonstans ska paketen läsas av trots allt.

Varför ska jag leta upp en sådan router som du begär? Förstår inte riktigt vad det har med att lägga till en extra billig switch efter routern?

Om du vill kalla det processor är det okej för min del, men det är inte samma processor som sköter routingen, webbinterface osv. Switching görs med en separat ASIC som inte kan något om något annat än att switcha.

Det gör alltså ingen skillnad att köpa en separat switch eftersom den inbygga fungerar på precis samma sätt.

Permalänk
Hedersmedlem
Skrivet av Pnorberg:

Men en switch, även om det är en "dum" switch så har den väl en processor som tar hand om paketen och dirigerar vart de ska skickas? En processor är hårdvara, vad är det annars? Hur ska en switch annars veta till vilken mac-adress som paketet ska till?
Kan inte tänka mig att en konsumentrouter har flera processorer för varje ändamål? Någonstans ska paketen läsas av trots allt.

Varför ska jag leta upp en sådan router som du begär? Förstår inte riktigt vad det har med att lägga till en extra billig switch efter routern?

Skickades från m.sweclockers.com

Vad du kan tänka dig är ointressant, switchandet och i viss mån även NATandet hanteras utanför processorn, antingen av en fristående switch-del på kretskortet eller av en specialiserad krets inom samma SoC.
Processorn som sitter i de flesta hemroutrar hade aldrig orkat hantera switchandet i kombination med allt annat den ska göra.

https://www.tomshardware.com/amp/reviews/router-soc-101,4392....

Permalänk
Medlem

Som vanligt, uppdatera alltid FW. Har AC-87U sedan 2 år och den har alltid uppdaterats inom någon dag från det att ny FW släppts.

Det är bara hål i huvet att inte göra det.

Däremot kan jag tycka att port forward ofta strulat. Merlin kan kanske vara bättre på det? @Pirum ?

Permalänk
Medlem
Skrivet av LemonIllusion:

Om du vill kalla det processor är det okej för min del, men det är inte samma processor som sköter routingen, webbinterface osv. Switching görs med en separat ASIC som inte kan något om något annat än att switcha.

Det gör alltså ingen skillnad att köpa en separat switch eftersom den inbygga fungerar på precis samma sätt.

Skrivet av Aphex:

Vad du kan tänka dig är ointressant, switchandet och i viss mån även NATandet hanteras utanför processorn, antingen av en fristående switch-del på kretskortet eller av en specialiserad krets inom samma SoC.
Processorn som sitter i de flesta hemroutrar hade aldrig orkat hantera switchandet i kombination med allt annat den ska göra.

https://www.tomshardware.com/amp/reviews/router-soc-101,4392....

Aha där ser man, får ta och läsa på lite mer om hur konsumentroutrarna fungerar, tackar!
Man lär sig något nytt varje dag.

Permalänk
Medlem

Kör fortfarande min N66U med MerlinWRT.
Aldrig strulat, oavsett hur många månader den stått orörd.
Används för närvarande bara som router, då jag satt en UniFi AP-AC-Lite (fw-update idag förresten) för att hantera wifi, då N är lite väl gammalt.

Framgår inte med ens i närheten av önskvärd tydlighet exakt vad som fixats i Asus nya fw.

Permalänk
Medlem

Jag kör DD-WRT på min Asus RT-AC87U. Senaste FW är från augusti. Kan det innebära att även min router är sårbar för denna DDOS-attack?

Permalänk
Medlem
Skrivet av Homdax:

Som vanligt, uppdatera alltid FW. Har AC-87U sedan 2 år och den har alltid uppdaterats inom någon dag från det att ny FW släppts.

Det är bara hål i huvet att inte göra det.

Däremot kan jag tycka att port forward ofta strulat. Merlin kan kanske vara bättre på det? @Pirum ?

Att använda automatisk uppdatering har även avigsidor.
Har ibland blivit av med automatiska backuper.
Händer att möss slutar fungera.
Ibland strejkar grafikrutinerna. Har varit med om att man behövt köra 2 olika grafikrutiner bara för att den nya inte varit riktigt färdigtestad.
mm

Föredrar att ha vissa tider som uppdatering sker veckovis eller månadsvis. Är lite lättare att hitta vad som är fel och större möjlighet att veta vad som behöver backas.

Mobiler är ett exempel där uppdatering sker kontinuerligt men samtidigt är det oftast några saker som inte fungerar.

Permalänk
Medlem

Man önskar sig lite mer teknisk information.
Frågan är vilken sårbarhet det gällde.

Om jag tittar just på RT-AC86U modellen, så har ASUS släppt en uppdatering 2019-11-20 där release notes säger:
ASUS RT-AC86U Firmware version 3.0.0.4.384.81351
- Fixed a DDoS vulnerability.

Tittar man tillbaka i tiden på tidigare uppdateringar för samma router modell, så har alla tre senaste uppdateringarna haft bugfixar mot DDoS sårbarheter.

2019-09-05:
ASUS RT-AC86U Firmware version 3.0.0.4.384.81049
Security fix
- Fixed a DDoS vulnerability. Thanks for Altin Thartori's contribution.

2019-05-13
ASUS RT-AC86U Firmware version 3.0.0.4.384.45717
- Fixed DDoS vulnerability.

Detta i kombination med Bahnhof's rekommendation att "byta till unika och starka lösenord." tyder på att enbart kunder med ASUS default lösenord eller enkla lösenord drabbades av det här?
Tyvärr innehåller ASUS firmware releasnotes inga CVE's heller så man kan söka vidare på det.

Permalänk
Avstängd

@geraner: Jo inte riktigt bra att det inte är spårbart.

Hursomhelst så har då Asus den här säkerhetssidan

https://www.asus.com/Static_WebPage/ASUS-Product-Security-Adv...

15/11 rapporten saknar helt bakgrund??

16/5 rapporten innehåller allt som Bahnhof skriver inkl att man ska göra en reset.

Men.. man får inte ihop det med cve statistiken:
https://www.cvedetails.com/vulnerability-list/vendor_id-3447/...

Alternativt har man misslyckats med att täppa till säkerhetshål?

(själv följer jag då även Merlins fora och har själv inte märkt någon uppståndelse)

Permalänk
Medlem

Har en RT-AC87U.

Är Merlins 384.13_1 nyare än Asus 3.0.0.4.382.51939 ?

Permalänk
Medlem

MerlinWRT inte påverkad av nämnd sårbarhet

RMerlin och john9527 fixade detta för länge sedan.

https://www.snbforums.com/threads/asus-rt-n66u-firmware-versi...

Permalänk
Medlem

Finns det någon router som har auto update? Det känns lite antikt att man ska behöva gå in på routern för att se om det finns någon uppdatering när det där borde skötas automatiskt.