image

Spaanse ISP laat lek in ADSL-routers al 2 jaar zitten

vrijdag 16 januari 2015, 10:36 door Redactie, 4 reacties

Een Spaanse beveiligingsonderzoeker heeft een ernstig lek in de ADSL-routers van fabrikant Pirelli openbaar gemaakt nadat zowel Pirelli als de Spaanse internetprovider Movistar Telefonica de kwetsbaarheid al twee jaar negeren. Eduardo Novella ontdekte dat het mogelijk is om de beheerderpagina's van de router direct via het internet en zonder wachtwoord te benaderen.

Het enige dat een aanvaller moet weten is de naam van de betreffende beheerderpagina en het IP-adres van de router. Vervolgens kan een aanvaller wachtwoorden van het wifi-netwerk opvragen, DNS-servers aanpassen, poorten openzetten en meer. De onderzoeker ontdekte meer dan 150 HTML-pagina's die direct benaderbaar zijn. Novella rapporteerde het probleem in de Pirelli ADSL2/2+ Wireless Router P.DGA4001N begin 2013 aan Pirelli en Movistar Telefonica, de grootste internetprovider in Spanje. Movistar Telefonica levert de ADSL-routers namelijk aan klanten.

Van beide partijen kreeg de onderzoeker geen reactie, waarop hij zijn bevindingen nu besloot te publiceren en onderstaande demonstratievideo maakte. "Dit lek is op afstand te gebruiken en moet zo snel als mogelijk worden gepatcht. Een aanvaller kan hiermee het netwerk monitoren of de router onderdeel van een botnet maken", zo waarschuwt Novella. Aangezien er geen update beschikbaar is adviseert hij een alternatief besturingssysteem zoals OpenWRT of DDWRT te installeren of verbindingen van buitenaf niet toe te staan. "Deze oplossing zou voldoende bescherming bieden."

Image

Reacties (4)
16-01-2015, 11:29 door Anoniem
En daar heeft-ie dan 2 jaar mee gewacht??
16-01-2015, 12:13 door Anoniem
ZT: Weer een 'beveiligingsonderzoeker' die niet de moeite neemt om Torbrowser goed secure te configureren.
Te zien aan de NoScript S-button die nog op "Scripts Globally Allowed (Dangerous)" staat.

Neem wanneer je Torbrowser gaat gebruiken de NoScript settings door, deactiveer de 'Globally Allowed' setting!
Bekijk onder meer in ieder geval opties onder 'Embeddings' en de 'Temporary Allow' opties voor het maken van aanvullende security keuzes.
16-01-2015, 23:00 door Anoniem
Pirelli kan zich beter maar weer focussen op het maken van kalenders.

;-)
16-01-2015, 23:26 door Anoniem
Geen probleem. De aansprakelijkheid mogelijkheden in dergelijke kwesties nadert tot nul.
Logisch resultaat (zo'n 20 - 30 jaar geleden al voorspeld) is dat het de winstmakers geen ene ruk interesseert.

Waarom zou je ook? De concurrentie doet het ook niet, dus als jij het wel doet (om van die rare redenen als consumenten beschermen en zo, of, uiteindelijk, nationale infrastructuur) dan ga je nooit onder de prijs van de concurrent kunnen duiken. Dus dan maar niet, eh?

Twee jaar is trouwens niets. Sommige mondiale spelers laten veel ernstige lekken veel en veel langer zitten zonder er welke ruchtbaarheid dan ook aan te geven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.