138.000 modems van fabrikant Arris lopen het risico om te worden overgenomen doordat ze via het internet toegankelijk zijn en over een hardcoded ssh-account beschikken waarvan de inloggegevens openbaar zijn gemaakt. Het gaat om de Arris-modems NVG589 en NVG599.
De modems blijken over een superuser-account te beschikken dat via ssh kan inloggen. Eenmaal ingelogd kan dit account netwerkinstellingen aanpassen, firmware installeren en een kernelmodule bedienen die als enig doel het injecteren van advertenties in onversleuteld webverkeer lijkt te hebben. Er zijn echter geen aanwijzingen dat de module op dit moment bij gebruikers van Arris-modems actief is. Een kwetsbaarheid in de shell-client die voor het inloggen wordt gebruikt zorgt ervoor dat een aanvaller code met rootrechten kan uitvoeren, zo laten onderzoekers van securitybedrijf Nomotion weten.
In de modems, die onder andere door internetprovider AT&T worden gebruikt, werden ook nog andere problemen gevonden. De onderzoekers besloten de kwetsbaarheden direct openbaar te maken, zonder Arris te waarschuwen, in de hoop dat ze sneller worden gepatcht. Gebruikers kunnen het superuser-account echter wel zelf uitschakelen, zoals de onderzoekers in hun blogpost duidelijk maken. Volgens de Nederlandse beveiligingsonderzoeker Victor Gevers zijn er wereldwijd 138.000 van de kwetsbare Arris-modems via internet toegankelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.