Security problemen in DSL modems geeft wachtwoorden klanten bloot
Klanten van de DSL aanbieder Sprint lopen het risico dat hun e-mail adressen en wachtwoorden gestolen worden, zelfs wanneer hun PC uitstaat. Het probleem ontstaat door zwakke security controls in de gebruikte DSL modems. De modems van het type ZyXel Prestige 642 en 645 gebruiken een standaard wachtwoord, namelijk 1234. Sprint reageerde door te zeggen dat de klanten verantwoordelijk zijn voor het veilig maken van hun eigen apparaatuur.
Sprint geeft echter geen instructies hoe men het wachtwoord kan wijzigen.
Reacties (18)
Tja, misschien willen de ontwerpers ook beweren dat zij hun huizen 's avonds ook niet op slot doen om inbrekers buiten te houden. Als je dit bovenstaande verhaal leest, dan begint je bloed wel te stollen...! Dus, geachte consumenten, koop dus nooit een dergelijk apparaat genaamd: Zyxel!
24-01-2003, 11:48 door
Savatage
Wat was de IP range van Sprint ook al weer? Dan kunnen we die gaan blokkeren in de nodige mailservers. 1 keer raden waar de komende spamruns en hackpogingen vandaan gaan komen......
Het valt allemaal wel mee...Het gaat hooguit om 1 of 2 users die vergeten waren de handleiding te lezen... Het staat namelijk al ruim 10 jaar in de handleiding van ZyXEL dat het wachtwoord 1234 is maar mensen lezen niet meer tegenwoordig..
Ter informatie:
Er is tot nu toe namelijk nog niet 1 ZyXEL gehacked!
Zelf niet via officiele hack pogingen.
Ter informatie:
Er is tot nu toe namelijk nog niet 1 ZyXEL gehacked!
Zelf niet via officiele hack pogingen.
<fair use>
Sprint could not say how many of its more than 110,000 DSL customers might be affected by the security issue. But a scan of a sample of Internet addresses used by Sprint DSL customers revealed that more than 90 percent of the ZyXel DSL modems found had the widely known default administrative password.
</fair use>
Sprint could not say how many of its more than 110,000 DSL customers might be affected by the security issue. But a scan of a sample of Internet addresses used by Sprint DSL customers revealed that more than 90 percent of the ZyXel DSL modems found had the widely known default administrative password.
</fair use>
Originally posted by QuotePaul
<fair use>
Sprint could not say how many of its more than 110,000 DSL customers might be affected by the security issue. But a scan of a sample of Internet addresses used by Sprint DSL customers revealed that more than 90 percent of the ZyXel DSL modems found had the widely known default administrative password.
</fair use>
<fair use>
Sprint could not say how many of its more than 110,000 DSL customers might be affected by the security issue. But a scan of a sample of Internet addresses used by Sprint DSL customers revealed that more than 90 percent of the ZyXel DSL modems found had the widely known default administrative password.
</fair use>
Duidelijk... Niet goed opgeleverd door Spint.
Bij oa MyCom worden al vele maanden lekke Edimax breedband switches verkocht.
Zowel de normale als de draadloze versie is standaard ingesteld op het kunnen configureren van zowel het lan als vanaf de internet zijde via je webbrowser.
Dit is zelfs niet eens beveiligd!!! Dwz: je moet voorbij een wachtwoord scherm, maar de fabrikant heeft in alle firmware versies tot nu toe (en dat is al vele maanden zo) het standaard wachtwoord alvast voor je ingevuld (password).
Daarachter kun je in de meeste gevallen dus het apparaat dus instellen, en ook de instellingen zoals de gebruikersnaam en wachtwoord voor inloggen bij de provider uitlezen.
Ik heb twee maanden geleden een scan uitgevoerd en het is echt schokkend hoeveel mensen hun handleiding niet hebben doorgelezen en dus onbeschermd op het net zitten zonder dit te beseffen....!
Zowel de normale als de draadloze versie is standaard ingesteld op het kunnen configureren van zowel het lan als vanaf de internet zijde via je webbrowser.
Dit is zelfs niet eens beveiligd!!! Dwz: je moet voorbij een wachtwoord scherm, maar de fabrikant heeft in alle firmware versies tot nu toe (en dat is al vele maanden zo) het standaard wachtwoord alvast voor je ingevuld (password).
Daarachter kun je in de meeste gevallen dus het apparaat dus instellen, en ook de instellingen zoals de gebruikersnaam en wachtwoord voor inloggen bij de provider uitlezen.
Ik heb twee maanden geleden een scan uitgevoerd en het is echt schokkend hoeveel mensen hun handleiding niet hebben doorgelezen en dus onbeschermd op het net zitten zonder dit te beseffen....!
25-01-2003, 15:15 door
MrCaBLeGuY
Originally posted by Savatage
Wat was de IP range van Sprint ook al weer? Dan kunnen we die gaan blokkeren in de nodige mailservers. 1 keer raden waar de komende spamruns en hackpogingen vandaan gaan komen......
Wat was de IP range van Sprint ook al weer? Dan kunnen we die gaan blokkeren in de nodige mailservers. 1 keer raden waar de komende spamruns en hackpogingen vandaan gaan komen......
OrgName: Sprint DSL Network
OrgID: SDSL
NetRange: 65.40.0.0 - 65.41.255.255
CIDR: 65.40.0.0/15
NetName: SPRINTDSL02
NetHandle: NET-65-40-0-0-1
Parent: NET-65-0-0-0-0
NetType: Direct Allocation
NameServer: DNS1.UTELFLA.COM
NameServer: DNS2.UTELFLA.COM
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 2002-04-08
Updated: 2002-12-27
TechHandle: IA98-ARIN
TechName: IP Administrator, IP
TechPhone: +1-407-741-0500
TechEmail: [email]support@sprint-hsd.net[/email]
25-01-2003, 15:20 door
MrCaBLeGuY
Binnen notime een klant gevonden die inderdaad dat password heeft, lekker slim zeg. Not.
http://www.fokit.nl/security/sprintCustomer.jpg
Laatste gedeelte van het ipadres is weg geedit.
http://www.fokit.nl/security/sprintCustomer.jpg
Laatste gedeelte van het ipadres is weg geedit.
Originally posted by MrCaBLeGuY
Binnen notime een klant gevonden die inderdaad dat password heeft, lekker slim zeg. Not.
http://www.fokit.nl/security/sprintCustomer.jpg
Binnen notime een klant gevonden die inderdaad dat password heeft, lekker slim zeg. Not.
http://www.fokit.nl/security/sprintCustomer.jpg
Net even geprobeerd, klopt inderdaad wel helaas.
...Een tipje aan de poster van dit bericht:
Ik zou dit plaatje maar verwijderen want deze gebruiker die waarschijnlijk nog altijd niet gealarmeerd is omdat er tenslotte geen emailadres van bekend is (behalve bij de provider zelf) loopt met dit JPG-plaatje MET IP-NUMMER wel heel erg veel gevaar z'n setup naar de klote geholpen te krijgen door de een of andere flauwe eikel.
Is dat nou de bedoeling?
Graag iets meer verantwoordelijkheidsbesef jongens.
Misschien dat als je zelf een geslaagde hackpoging meemaakt de ernst van dit alles pas echt duidelijk wordt...
Overigens: Computerinbraak is tegenwoordig bij mijn weten STRAFBAAR, ook als je geen schade aanricht - Formeel genomen ben ik dat zelf eigenlijk dus al, door simpelweg te kijken of deze gebruiker z'n zaakjes al voor elkaar heeft gebracht... (dus niet)
Greetz
Ik zou graag zien dat het plaatje met link wordt verwijderd.
Dit soort berichtgeving werkt vandalisme in de hand.
Dit soort berichtgeving werkt vandalisme in de hand.
En... dan heben we het nog niet over routers van Unex welke gewoon het wachtwoord al voor je ingevuld hebben.
Kwestie van enter en je zit op de router.
Die geeft je volledige acces.
En, als de een gebruiker hiervan op de hoogte brengt doen ze er gewoon niets aan. Zelfs maanden later staat de router gewoon weer te wachten tot... er een kwaadwillende langs komt.
Greetz
Kwestie van enter en je zit op de router.
Die geeft je volledige acces.
En, als de een gebruiker hiervan op de hoogte brengt doen ze er gewoon niets aan. Zelfs maanden later staat de router gewoon weer te wachten tot... er een kwaadwillende langs komt.
Greetz
25-01-2003, 21:23 door
MrCaBLeGuY
Originally posted by Unregistered
Ik zou graag zien dat het plaatje met link wordt verwijderd.
Dit soort berichtgeving werkt vandalisme in de hand.
Ik zou graag zien dat het plaatje met link wordt verwijderd.
Dit soort berichtgeving werkt vandalisme in de hand.
beetje ver gezocht natuurlijk. Kun je net zo goed pleiten om dit hele bericht van security.nl te verwijderen. Elke simpele ziel is toch in staat uit te zoeken wat de DSL ranges van Sprint zijn en deze te scannen op aanwezigheid van telnet of niet. Zo vind je zo nog een paar honderd klanten kan ik je melden.
Dus als er iets vandalisme in de hand werkt is het de berichtgeving hierover. Zonder dit bericht had ik nooit geweten dat er duizenden modems open staan.
Maar kan het opzich ook wel met je eens zijn, ik zal dat ip op het plaatje wat wegwerken.
Heren, dames,
Ik gebruik toevallig ook een ZyXEL 642 voor mijn ADSL toegang in Spanje via Telefonica. Ik heb wel (doordat ik gedwongen was documentatie te lezen om het via Linux aan de praat te krijgen) direct mijn password gewijzigd naar iets eigens.
ECHTER, op een kwade dag was toch mijn ZyXEL DSL router toch nog door een overlaat gehackt (en disabled). Ik heb nu de remote TELNET en FTP poorten ook maar gedisabled (had ik meteen moeten doen) en de SNMP toegang beperkt tot IP nummers uit mijn eigen netwerk. Hopelijk blijft het hierbij.
Wat ik NIET snap is dat een hacker (scriptkiddie zo te beoordelen) het toch is gelukt mijn DSL router te herconfigureren op afstand nadat ik het password had gewijzigd.
Hoedanook raad ik elke ZyXEL prestige gebruiker aan om de FTP en TELNET poorten en SNMP toegang te sluiten voor het WAN gedeelte van de router.
Sacha Prins
Malaga
Ik gebruik toevallig ook een ZyXEL 642 voor mijn ADSL toegang in Spanje via Telefonica. Ik heb wel (doordat ik gedwongen was documentatie te lezen om het via Linux aan de praat te krijgen) direct mijn password gewijzigd naar iets eigens.
ECHTER, op een kwade dag was toch mijn ZyXEL DSL router toch nog door een overlaat gehackt (en disabled). Ik heb nu de remote TELNET en FTP poorten ook maar gedisabled (had ik meteen moeten doen) en de SNMP toegang beperkt tot IP nummers uit mijn eigen netwerk. Hopelijk blijft het hierbij.
Wat ik NIET snap is dat een hacker (scriptkiddie zo te beoordelen) het toch is gelukt mijn DSL router te herconfigureren op afstand nadat ik het password had gewijzigd.
Hoedanook raad ik elke ZyXEL prestige gebruiker aan om de FTP en TELNET poorten en SNMP toegang te sluiten voor het WAN gedeelte van de router.
Sacha Prins
Malaga
Dat komt omdat de meeste van die routers via poort 80 geconfigt kunne worden. Poort 80 standaard openstaat en het wachtwoord al voor je wordt ingevuld, vervolgens benader je de router gaat naat configuratie en... Jahoor ook daar staan je inlog en password om inteloggen op Inet, alweer voor je ingevuld.
Kijk maar eens hoeveel routers van Unex (veelvuldig gebruiktdoor de thuis gebruiker) gewoon poort 80 hebben openstaan.
Ik kan wel 100 IP's geven van Unex/Pivotal routers die via de standaard instellingen gewoon op Inet staan.
RTFM probleem lijkt me plus ontwetendheid
Greetings bye me
Kijk maar eens hoeveel routers van Unex (veelvuldig gebruiktdoor de thuis gebruiker) gewoon poort 80 hebben openstaan.
Ik kan wel 100 IP's geven van Unex/Pivotal routers die via de standaard instellingen gewoon op Inet staan.
RTFM probleem lijkt me plus ontwetendheid
Greetings bye me
26-01-2003, 15:53 door
MrCaBLeGuY
Ik ben ook wel eens - per ongeluk - alcatel modems tegen gekomen online zonder password. Maar hier heb je alleen last van als je de configuratie zodanig aanpast dat hij als router gaan functioneren ipv standaard met VPN. Maar als je dat dus doet moet je er wel even een password opzetten :)
Originally posted by Unregistered
Dat komt omdat de meeste van die routers via poort 80 geconfigt kunne worden. Poort 80 standaard openstaat en het wachtwoord al voor je wordt ingevuld, vervolgens benader je de router gaat naat configuratie en... Jahoor ook daar staan je inlog en password om inteloggen op Inet, alweer voor je ingevuld.
Dat komt omdat de meeste van die routers via poort 80 geconfigt kunne worden. Poort 80 standaard openstaat en het wachtwoord al voor je wordt ingevuld, vervolgens benader je de router gaat naat configuratie en... Jahoor ook daar staan je inlog en password om inteloggen op Inet, alweer voor je ingevuld.
Lekker k*t geregeld als alles al standaard wordt ingevuld. Anyway, mijn poort 80 is niet te bereiken van buiten, blijkbaar is dat met het sluiten van TELNET en FTP ook geblokkeerd.
Wat wel openstaat volgens NMAP is het volgende:
Port State Service
520/tcp filtered efs
Wat doet efs (extended file name server) waar ik me in de vingers mee kan snijden?
Sacha
27-01-2003, 15:11 door
Dani3l3
Isn't any other VERY common modem (router to be precise) like ALCATEL's provided with a default -BLANK- password?
And doesn't it have several security flaws know for a long while already?
......
so where is the news??
And doesn't it have several security flaws know for a long while already?
......
so where is the news??
27-01-2003, 16:40 door
MrCaBLeGuY
Originally posted by Dani3l3
Isn't any other VERY common modem (router to be precise) like ALCATEL's provided with a default -BLANK- password?
And doesn't it have several security flaws know for a long while already?
......
so where is the news??
Isn't any other VERY common modem (router to be precise) like ALCATEL's provided with a default -BLANK- password?
And doesn't it have several security flaws know for a long while already?
......
so where is the news??
The ALCATEL's provided by dutch DSL ISP's like XS4ALL are indeed password free. But - by default - you can't reach the modems cause they have an ipaddress like 10.0.0.138 and the connection works with VPN. So even there is no password on it, it's safe.
But when you reconfigure your modem and make it work like a router it wil be connected to the internet and is it smart te set a password on it :) But that's not by default, so XS4ALL does not have the same problem as SPRINT.
DSL Modems that are provided by BBNED DSL (like Cistron and Interned Services do) are also password free (sometimes). But they just function as a bridge so there wil be no direct access to the modem available.
Sorry my english sucks :)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
