Een Spaanse beveiligingsonderzoeker heeft een ernstig lek in de ADSL-routers van fabrikant Pirelli openbaar gemaakt nadat zowel Pirelli als de Spaanse internetprovider Movistar Telefonica de kwetsbaarheid al twee jaar negeren. Eduardo Novella ontdekte dat het mogelijk is om de beheerderpagina's van de router direct via het internet en zonder wachtwoord te benaderen.
Het enige dat een aanvaller moet weten is de naam van de betreffende beheerderpagina en het IP-adres van de router. Vervolgens kan een aanvaller wachtwoorden van het wifi-netwerk opvragen, DNS-servers aanpassen, poorten openzetten en meer. De onderzoeker ontdekte meer dan 150 HTML-pagina's die direct benaderbaar zijn. Novella rapporteerde het probleem in de Pirelli ADSL2/2+ Wireless Router P.DGA4001N begin 2013 aan Pirelli en Movistar Telefonica, de grootste internetprovider in Spanje. Movistar Telefonica levert de ADSL-routers namelijk aan klanten.
Van beide partijen kreeg de onderzoeker geen reactie, waarop hij zijn bevindingen nu besloot te publiceren en onderstaande demonstratievideo maakte. "Dit lek is op afstand te gebruiken en moet zo snel als mogelijk worden gepatcht. Een aanvaller kan hiermee het netwerk monitoren of de router onderdeel van een botnet maken", zo waarschuwt Novella. Aangezien er geen update beschikbaar is adviseert hij een alternatief besturingssysteem zoals OpenWRT of DDWRT te installeren of verbindingen van buitenaf niet toe te staan. "Deze oplossing zou voldoende bescherming bieden."
Deze posting is gelocked. Reageren is niet meer mogelijk.