Routers onder vuur: hoe bedrijven hun gateway naar het internet kunnen beschermen

Door Phil Muncaster • 12 November 2024

Modems en routers zijn niet de meest glamoureuze connected technologieën. Sterker nog, hun alomtegenwoordigheid zorgt ervoor dat de meeste organisaties vergeten dat ze er überhaupt zijn. Ze vervullen echter ook een cruciale functie door netwerkapparaten en machines in staat te stellen het openbare internet te bereiken. Zonder hen zouden de meeste bedrijven moeite hebben om te functioneren.

Maar vanwege hun locatie aan de rand van het netwerk, zijn routers ook een steeds populairder doelwit. Het helpt niet dat veel ervan vol zitten met kwetsbaarheden en mogelijk niet zo vaak worden bijgewerkt als andere kritieke apparaten. A rapport van Forescout In oktober werd een waarschuwing gepubliceerd voor 14 nieuwe firmwarefouten in DrayTek-routers.

Het is tijd om de beveiliging van bedrijfsrouters serieus te nemen.

Wat is er mis met DrayTek?

Volgens Forescout zijn twee van de 14 nieuwe kwetsbaarheden die het bedrijf ontdekte in routers van de Taiwanese fabrikant, als kritiek beoordeeld: CVE-2024-41592 heeft een maximale CVSS-score van 10, terwijl CVE-2024-41585 een 9.1 heeft gekregen.

De eerste is een bufferoverflow in de GetCGI()-functie van de DrayTek VigorConnect Web UI. Het zou blijkbaar kunnen worden geactiveerd door een speciaal vervaardigde en buitensporig lange querystring naar een van de 40 CGI-pagina's van de Web UI. Dit zou op zijn beurt kunnen worden gebruikt om denial of services te bereiken of, indien gekoppeld aan OS command injection bug CVE-2024-41585, om remote root-toegang te krijgen tot het onderliggende hostbesturingssysteem.

Dat is potentieel veel ernstiger, omdat het een aanvaller de 'sleutels tot het koninkrijk' zou geven, waardoor hij volledige controle op afstand zou kunnen krijgen over de beoogde router en, door laterale verplaatsing, over andere apparaten op hetzelfde netwerk, aldus Forescout.

De populariteit van DrayTek-routers wereldwijd benadrukt de uitdagingen voor netwerkverdedigers en de kansen voor dreigingsactoren. Volgens Forescout waren er meer dan 704,000 routers blootgesteld aan het internet – en dus vatbaar voor misbruik – toen het rapport werd samengesteld, waaronder 425,000 in het VK en de EU. De meeste zijn kennelijk bedoeld voor zakelijk gebruik.

DrayTek had alle firmwarekwetsbaarheden gepatcht toen het rapport werd gepubliceerd. Toch is er geen garantie dat klanten de updates zullen toepassen voordat er potentiële pogingen worden gedaan om ze te exploiteren. De leverancier is ook zeker niet de enige fabrikant wiens producten het risico lopen om gecompromitteerd te worden. In september werd een gezamenlijk advies uitgebracht Uit onderzoek van verschillende Five Eyes-veiligheidsdiensten bleek dat er een enorm botnet bestond van 260,000 gekaapte apparaten, waaronder routers van MikroTik, Ubiquiti, Telesquare, Telstra, Cisco en NetGear.

Waarom routers?

Modems en routers zijn duidelijk een populair doelwit voor dreigingsactoren. Dit komt omdat ze:

Zijn vaak bezaaid met ongepatchte kwetsbaarheden die misbruikt kunnen worden
Ze worden vaak gebruikt door MKB-bedrijven met minder beveiligingsmiddelen en -kennis, waardoor routers kwetsbaar kunnen zijn
Zijn gemakkelijk op afstand te scannen door hackers
Kan alleen worden beschermd door de standaard fabrieksreferenties
Biedt een gateway naar andere apparaten op hetzelfde netwerk en kan daarom worden gebruikt als een eerste toegangsvector voor ransomware en gegevensdiefstal
Ze kunnen worden gekaapt en gebruikt als bots in een groter botnet om DDoS-aanvallen op anderen uit te voeren of om geavanceerdere dreigingscampagnes te verhullen.
Kunnen worden hergebruikt als command-and-control-servers (als het routers met hoge prestaties zijn)

End-of-life (EoL) of end-of-sale (EoS) apparaten lopen een bijzonder groot risico, omdat patches/updates mogelijk niet beschikbaar zijn bij de leverancier. Forescout beweert dat 11 van de 24 getroffen DrayTek-modellen die in het onderzoek worden genoemd, EoL of EoS waren. Zelfs als patches kunnen worden toegepast, gebeurt dat vaak niet. Bijna tweevijfde (40%) van de modellen in het rapport is nog steeds kwetsbaar voor soortgelijke gebreken die twee jaar eerder zijn geïdentificeerd, aldus Forescout.

"Routers kunnen toegang tot, of zelfs controle over, activa binnen het netwerk van een organisatie opleveren. Als skeletten van de netwerken en subnetwerken die ze vormen, vormen ze een geweldige bron voor een aanvaller om te infecteren," vertelt Adam Brown, managing security consultant bij Black Duck Software, aan ISMS.online.

“Bovendien worden ze beheerd door personen met de hoogste beveiligingsniveaus, die, als ze worden gekraakt, kwaadwillenden de sleutels tot het koninkrijk geven.”

Dit is geen theoretische dreiging. Naast de hierboven genoemde enorme Chinese dreigingscampagne, kunnen we wijzen op het volgende:

Volt-tyfoon: Een door de Chinese staat gesteunde APT-groep die zero-day-kwetsbaarheden in met internet verbonden netwerkapparaten zoals routers uitbuitte om strategisch belangrijke kritieke infrastructuurnetwerken in de VS te compromitteren. Het einddoel, aldus de Cybersecurity and Infrastructure Security Agency (CISA), was om voorbereid en klaar te zijn om destructieve aanvallen uit te voeren in het geval van een militair conflict.

ZwarteTech: Een andere Chinese staats-APT-groep die verschillende organisaties in de VS en Japan als doelwit had. Het richtte zich op slecht beveiligde routers in filialen, waardoor aanvallers zich konden mengen met het normale verkeer terwijl ze overschakelden naar andere apparaten in het hoofdkantoor. In sommige gevallen kregen de aanvallers beheerdersrechten, waardoor ze de firmware op de routers konden vervangen en/of logging konden uitschakelen om hun sporen te verbergen.

Cyclops Blink en VPNFilter: Twee geavanceerde meerjarige campagnes van de Russische Sandworm-groep, die zich richtten op kleine kantoor-/thuiskantoor (SOHO)-routers en andere netwerkapparaten. Implementatie van de gelijknamige malware werd beschreven als “willekeurig en wijdverbreid”, wat waarnemers doet vermoeden dat het doel was om botnets te creëren die in staat zijn om dreigingscampagnes op andere doelen te lanceren.

APT28/Fancybeer: Een productieve Russische dreigingsgroep richtte zich op Ubiquiti EdgeRouters als onderdeel van een bredere campagne om "kwaadaardige cyberoperaties wereldwijd te faciliteren" - onder meer door spearphishingpagina's en aangepaste aanvalstools te hosten.

Hoe de dreiging te verminderen

Sommige Amerikaanse wetgevers willen Chinese routers onderzoeken om de cyberespionagedreiging van Beijing te verminderen. Maar dit zal niets doen om het probleem van routers die elders zijn gemaakt en worden gekaapt door gestolen/brute force-referenties of kwetsbaarheidsexploitatie aan te pakken. Dus, hoe kunnen organisaties hun routers beter beschermen? Enkele best practices kunnen helpen.

Een uitstekende plek om te beginnen is beproefde cyberhygiëne, zoals:

Regelmatig patchen van firmware zodra er updates beschikbaar zijn, waarbij waar mogelijk gebruik wordt gemaakt van geautomatiseerde updatekanalen
Standaardwachtwoorden vervangen door sterke, unieke inloggegevens
Het uitschakelen van ongebruikte services en poorten zoals UPnP, extern beheer, bestandsdeling, enz.
Snelle vervanging van de EoL-kit om maximale bescherming tegen misbruik te garanderen.

Brown van Black Duck Software voegt toe dat Zero Trust-beveiligingsbenaderingen organisaties ook kunnen helpen bij het beperken van routerbeveiligingsrisico's, zoals netwerkbewaking op ongebruikelijke verkeersvolumes en segmentatie in combinatie met toegangsbeleid met minimale bevoegdheden.

"Bij het implementeren van netwerken en dus routers moet rekening worden gehouden met beveiligingsarchitectuur, waarbij zorgvuldig moet worden gezorgd dat toegang tot routerconsoles de juiste beveiligingscontroles heeft", voegt hij toe. "Netwerkvertrouwenszones moeten worden overwogen en een Zero Trust-benadering van architectuur op alle lagen zal helpen de explosieradius te beperken als er een incident plaatsvindt."

Zoals de bovenstaande voorbeelden laten zien, zijn krachtige door de staat gesteunde groepen en geavanceerde cybercrime-entiteiten erop gebrand om misbruik te maken van beveiligingslekken om routers en de netwerken die ze overspannen te kapen. Nu MKB's in het vizier zijn, is het tijd om dit kritieke beveiligingslek te dichten.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 20 januari 2026

Het dichten van de kloof in AI-governance met ISO 42001

Het Verenigd Koninkrijk kampt met een probleem op het gebied van AI-governance. Dit was wellicht geen probleem een paar jaar geleden, toen projecten in de meeste organisaties nog in kleine stappen werden uitgevoerd. Maar vandaag de dag...

Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster