image

Kabelmodems lekken wachtwoorden en wifi-sleutels via SNMP

vrijdag 5 september 2014, 14:18 door Redactie, 7 reacties

Kabelmodems van fabrikanten Arris Touchstone en Netmaster blijken gevoelige informatie zoals gebruikersnaam, wachtwoord en wifi-sleutels te lekken. Het lekken vindt plaats via het Simple Network Management Protocol (SNMP). Het protocol is bedoeld voor het beheren van apparaten op IP-netwerken.

Het gaat dan om routers, switches, servers, modems, werkstations en printers. Door verkeerde SNMP-instellingen kunnen derden toegang tot de apparaten krijgen of gevoelige informatie onderscheppen. Problemen met SNMP zijn niet nieuw. Al in 2012 waarschuwde het Nationaal Cyber Security Center (NCSC) voor onveilige SNMP-configuraties.

Modems

In dit geval gaat het om de Arris Touchstone DG950A kabelmodem, waarbij SNMP standaard voor het publiek staat ingesteld. Een aanvaller kan zodoende zonder enige vorm van authenticatie gevoelige informatie over het apparaat onderscheppen. Hetzelfde probleem speelt bij de draadloze Netmaster CBW700N kabelmodem.

In het verleden gebruikte Ziggo modems van fabrikant Arris Touchstone, maar voor zover bekend is dat niet meer het geval. Voor beide modems zijn nog geen updates of andere oplossingen beschikbaar, zo meldt het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit. In totaal werden zo'n 308.000 kwetsbare modems op internet aangetroffen.

Beveiligingsbedrijf Rapid7, dat de problemen samen met een onafhankelijke onderzoeker op 5 juni van dit jaar ontdekte, is van plan om een Metasploit-module te ontwikkelen. Metasploit is een tool voor penetratietesters en security professionals om netwerken en systemen te testen. Het bedrijf merkt op dat de kwetsbaarheden in de modems ook via tal van andere beschikbare tools zijn te vinden.

Reacties (7)
05-09-2014, 14:24 door Anoniem
Sinds wanneer is SNMP ueberhaupt secure? Altijd uitzetten dus.
05-09-2014, 15:33 door Anoniem
SNMP staat dan ook bekend als het Secure No More Protocol.
05-09-2014, 16:16 door Briolet
In het verleden gebruikte Ziggo modems van fabrikant Arris Touchstone, maar voor zover bekend is dat niet meer het geval.
Ziggo geeft ze niet meer uit, maar er zullen nog veel in gebruik zijn. Alleen voor het snelste abonnement kunnen ze snelheidsproblemen geven. Maar een modem is alleen een doorgeefluik en heeft geen wifi-sleutel of instelbaar wachtwoord.

De Aris schijnt wel een vast wachtwoord gehad te hebben (zie http://ziggo-gebruikers.nl/forum/showthread.php?t=13139) maar dat werkt inmiddels niet meer.
05-09-2014, 18:28 door Anoniem
Door Anoniem: Sinds wanneer is SNMP ueberhaupt secure? Altijd uitzetten dus.

Ooit weleens van SNMP V3 gehoord?
06-09-2014, 00:22 door Anoniem
Ook UPC heeft nog klanten met een Arris modem.Deze oude meuk moet z.s.m. vervangen worden.Ik zou een brief krijgen over een nieuwe modem/router.Als die brief niet snel komt dan zou er weleens per ongeluk een kop thee/koffie over de Arris modem kunnen omvallen en dan vrees ik dat vervanging echt urgent is geworden (tenslotte betaal ik voor mn internetverbinding)
06-09-2014, 11:31 door Anoniem
Niets mis met SNMPv3, alleen ondersteunen nog veel te weinig moderne dingen die wel "SNMP" claimen dat. Persoonlijk denk ik dat SNMPv3 meer aandacht behoeft, want dat is toch echt een betere oplossing dan brakke wielheruitvindingen, bijvoorbeeld via "state of the art web interfaces" (blech).

En zolang je het netwerk waar de apparaten zich op bevinden kan vertrouwen is SNMPv2 of als je echt niets anders hebt v1 ook nog wel bruikbaar, maar dat vereist wel dat je heel goed weet wat je doet. Dat is nou niet echt het geval bij Customer Premises Equipment op die Customer Premises neerzetten, nee.

Belangrijker is niet dat er gevoelige informatie via SNMP te vinden is, maar dat dit soort apparaten structureel niet van buitenaf beveiligd zijn, en dus SNMP ook niet--het is een symptoom, niet het probleem zelf. En de oorzaak? Fabrikanten die hun apparaten, die zich dus in de ISPklant zijn netwerk bevinden, vooral tegen de ISPklant dichttimmeren, maar ervanuitgaan dat vanaf de andere kant (het publieke internet) alleen de technische dienst van de ISP (die dus te vertrouwen is) het apparaat zal benaderen.

Het is die denkfout die je hier moet opvallen. Als je je alleen maar over SNMP druk maakt, heb je alleen het symptoom gezien, en het eigenlijke probleem niet opgemerkt.
07-09-2014, 07:37 door Anoniem
Hoe dan ook... Ik heb de WiFi uitgeschakeld, maak ook geen gebruik van de WiFi hotspot van Ziggo en doe alles via een vast lijntje, lijkt mij wel zo veilig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.