Bredbåndsrutere og sikkerhet

Skremmende dårlig sikkerhet i de fleste bredbåndsrutere for forbrukere

Alle modellene som ble testet, hadde kjente sårbarheter i den nyeste tilgjengelige fastvaren.

De fleste rutere for private boliger blir oppdatert altfor sjelden, både av brukerne og leverandørene. De fleste er sårbare for angrep selv med den nyeste fastvaren.
De fleste rutere for private boliger blir oppdatert altfor sjelden, både av brukerne og leverandørene. De fleste er sårbare for angrep selv med den nyeste fastvaren. (Illustrasjonsfoto: Colourbox/Alexander Kharchenko)

Alle modellene som ble testet, hadde kjente sårbarheter i den nyeste tilgjengelige fastvaren.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

Mange velger å bytte ut ruteren de mottar fra bredbåndsleverandøren med en mer avansert modell som i større grad dekker behovet. Det fører ofte til at kundene selv i større grad må ta ansvaret for å installere sikkerhetsoppdateringer til ruteren.

Dagens wifi-rutere er små datamaskiner, og de fleste benytter et Linux-basert operativsystem. Det oppdages stadig vekk sårbarheter i de aller fleste operativsystemer, og disse må fjernes fra programvaren. 

Mange brukere er lite sikkerhetsbevisste og tar bare ruteren i bruk uten å tenke over slikt som at  administrator-passordet må byttes og oppdateringer jevnlig må installeres. Men slik manglende bevissthet hos brukerne er ikke det eneste problemet. 

Les også

Ikke oppdatert på 1969 dager

Mange ruterleverandører kommer sjelden med sikkerhetsoppdateringer, og kanskje bare i en kort periode i ruterens faktiske levetid. Dette betyr at mange rutere er sårbare selv om brukerne er flinke til å sjekke om det har kommet nye oppdateringer. Dette vises tydelig av en ny undersøkelse som har blitt utført av tyske Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE). 

FKIE har analysert det som den 27. mars 2020 var den nyeste tilgjengelige fastvaren til 127 hjemmerutere fra sju relativt store leverandører, Asus, AVM, D-Link, Linksys, Netgear, TP-Link og Zyxel. 

Forskerne mener at resultatet av undersøkelsen er alarmerende. Ingen av ruterne var uten kjente sikkerhetsfeil, og fastvaren til 46 av ruterne var ikke blitt oppdatert det siste året. Gjennomsnittsalderen på fastvaren til de 127 ruterne i testen var på hele 378 dager. 22 rutere var ikke blitt oppdatert på mer enn to år. I det verste tilfellet, en D-Link-ruter, var den nyeste fastvaren 1969 dager gammel den 27. mars 2020. Det er uklart om den har blitt oppdatert ettertid. 

Jevnt over er det Asus, AVM og Netgear som kommer best ut på dette området. Fastvaren til rutermodellene fra disse selskapene har alle blitt oppdatert det siste halvannet året. 

En potensiell feilkilde ved denne delen av undersøkelsen, er at det kun har blitt sett etter oppdateringer som er tilgjengelige for manuell nedlasting fra leverandørens web- eller FTP-server. Oppdateringer som kun er tilgjengelige via ruterens egen oppdateringsløsning, er ikke registrert. 

Linux-kjerne fra 2002

I undersøkelsen ble også status for selve operativsystemet vurdert. De fleste av ruterne er basert på Linux. Men en 1/3 av disse benytter versjon 2.6.x av Linux-kjernen. Ingen versjoner i denne generasjonen av Linux-kjernen har blitt oppdatert fra sentralt hold siden 2016, og de versjonene som faktisk er i bruk i de aktuelle ruterfastvarene, har senest blitt oppdatert i 2011. 

I de fleste tilfeller betyr dette trolig at ruterne har en fastvare som har ni år med kjente Linux-sårbarheter. Gode, gamle Linksys WRT54GL, som fortsatt er i salg noen steder, benytter versjon 2.4.20 av Linux-kjernen. Den kom i 2002 og hadde i mars 579 kjente sårbarheter med høy alvorlighetsgrad.

Det er kun AVM som ikke har noen produkter som er basert på versjon 2.6.x eller eldre av Linux-kjernen. Enhetene med flest sårbarheter med kritisk alvorlighetsgrad, er derimot Zyxel NBG6816 og Zyxel NBG6815. Begge var i slutten av mars berørt av 68 kritiske CVE-er (Common Vulnerabilities and Exposures). 

Les også

Hardkodede passord og privatnøkler

I undersøkelsen har forskerne også vurdert hvilke tiltak mot sårbarhetsutnyttelse som er bygget inn i enhetene og i hvilken grad disse er aktivert. Jevnt over er dette lite brukt.

Forskerne har også sett nærmere på om fastvaren til ruterne inneholder private krypteringsnøkler eller hardkodet innloggingsinformasjon. 

Også her ser det ganske mørkt ut, men det varierer fra modell til modell. AVM er den eneste leverandøren som ikke har noen ruterfastvare som inneholder private krypteringsnøkler. Asus er den eneste uten hardkodet innloggingsinformasjon. 

En versting er Netgear RAX40, som har tre velkjente tilfeller av innloggingsinformasjon hardkodet i fastvaren: 

  • root:amazon
  • nobody:password
  • admin:password

Forskerne har ikke sjekket om disse er tilgjengelige for innlogging fra internett.

En klar vinner

FKIE konkluderer med at det er store forskjeller på hvordan ruterleverandørene prioriterer sikkerhet. Den klare vinneren er tyske AVM med selskapets Fritz!Box-produkter. Asus og Netgear gjør det bedre enn de øvrige fire leverandørene på enkelte områder.

– Det trengs mye mer innsats for å gjøre hjemmerutere like sikre som dagens PC- og serversystemer, skriver FKIE i rapporten. Dette til tross for at ruterne i de fleste tilfeller er koblet til internett til enhver tid og i stor grad er overlatt til seg selv. 

Les også

Kommentarer (3)

Kommentarer (3)
Til toppen