Hlavní navigace

Routery ASUS je možné ovládnout i s vypnutou vzdálenou administrací

Sdílet

Petr Krčmář 15. 2. 2016

Vážná bezpečnostní chyba byla objevena v domácích routerech značky ASUS. Zařízení běžící na ASUSWRT (modely s RT v názvu) jsou dostupné z internetu i v případě, že je vypnutá volba „Enable Web Access from WAN“ a zároveň je vypnutý firewall. Vypnutí filtrování totiž zároveň přepíše pravidlo bránící v přístupu k webovému rozhraní, které tak zůstane otevřené do světa.

Ve výchozím stavu je sice firewall zapnutý, ale někteří uživatelé jej vypínají v domnění, že webové rozhraní jejich routeru nebude z internetu dostupné. V kombinaci se slabým heslem je problém na světě. Podle databáze Shodan je na internetu 122 000 routerů ASUS s otevřeným administračním rozhraním přes HTTP a 15 000 je jich dostupných přes HTTPS.

Chyba byla nahlášena 20. ledna a už za pět dní existovala betaverze nového firmware, který chybu záplatuje. Ten však zatím není veřejně dostupný a nejnovější vydaná verze problémem stále trpí. Dokud nebude oprava uvolněna, měli by se uživatelé ujistit, že je firewall na jejich routeru zapnutý.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 15. 2. 2016 10:37

    Sedeki (neregistrovaný) 90.181.126.---

    ...mohu u Asusu potvrdit. Nehledě na bombastický nadpis, kdy samozřejmě nejde o žádné ovládnutí, ale pouze bezpečnostní riziko, minimálně u routeru Asus RT-12+ je tato chyba přítomna minimálně půl roku a hlavně DISABLE nefunguje ani se zapnutým firewallem.

    Řešením je samozřejmě obecně *WRT, nebo u tohoto nepodporovaného kousku s Mediatekem výborný Padavan https://bitbucket.org/padavan/rt-n56u (N11P je hardwarově stejný).

  • 15. 2. 2016 15:36

    P_V

    Imho je to spíš UI bug, kde nastavení pravidla FW je přesunuto do jiné sekce menu než nastavení FW, takže ta závislost není vůbec patrná.

  • 15. 2. 2016 16:47

    bez přezdívky

    Bohužel to nemusí být ani slabé heslo - se starším firmwarem vám ho router sám řekne, když víte, jak se zeptat :( - http://blog.nic.cz/2015/06/25/jak-jsme-si-nechali-naborit-router/

    Mimochodem i tenhle problém je v tom článku zmíněný:

    "Na tomto místě je vhodné poznamenat, že router obsahuje volbu, zda má být jeho webové administrační rozhraní dostupné i na WAN rozhraní nebo pouze z LAN. Tato ochrana je však implementována pouze ve firewallu, což znamená, že při vypnutém firewallu nemá toto nastavení žádnou funkci a administrativní rozhraní je dostupné vždy."