image

138.000 Arris-modems kwetsbaar door hardcoded ssh-account

donderdag 31 augustus 2017, 10:19 door Redactie, 10 reacties

138.000 modems van fabrikant Arris lopen het risico om te worden overgenomen doordat ze via het internet toegankelijk zijn en over een hardcoded ssh-account beschikken waarvan de inloggegevens openbaar zijn gemaakt. Het gaat om de Arris-modems NVG589 en NVG599.

De modems blijken over een superuser-account te beschikken dat via ssh kan inloggen. Eenmaal ingelogd kan dit account netwerkinstellingen aanpassen, firmware installeren en een kernelmodule bedienen die als enig doel het injecteren van advertenties in onversleuteld webverkeer lijkt te hebben. Er zijn echter geen aanwijzingen dat de module op dit moment bij gebruikers van Arris-modems actief is. Een kwetsbaarheid in de shell-client die voor het inloggen wordt gebruikt zorgt ervoor dat een aanvaller code met rootrechten kan uitvoeren, zo laten onderzoekers van securitybedrijf Nomotion weten.

In de modems, die onder andere door internetprovider AT&T worden gebruikt, werden ook nog andere problemen gevonden. De onderzoekers besloten de kwetsbaarheden direct openbaar te maken, zonder Arris te waarschuwen, in de hoop dat ze sneller worden gepatcht. Gebruikers kunnen het superuser-account echter wel zelf uitschakelen, zoals de onderzoekers in hun blogpost duidelijk maken. Volgens de Nederlandse beveiligingsonderzoeker Victor Gevers zijn er wereldwijd 138.000 van de kwetsbare Arris-modems via internet toegankelijk.

Reacties (10)
31-08-2017, 10:47 door Anoniem
Tja, bij een hoop mensen zal de eerste reactie zijn "waarom zou iemand *mij* willen aanvallen?

Ben benieuwd hoe lang het duurt voor deze wordt opgenomen bij de bekende IOT wormen...
31-08-2017, 12:18 door Anoniem
...en een kernelmodule bedienen die als enig doel het injecteren van advertenties in onversleuteld webverkeer lijkt te hebben.

Waarom zou je een kernel module willen laden die advertenties, http verkeer, toevoegd??!!
Ok, wordt niet gebruikt. Maar waarom staat ie er dan toch.
31-08-2017, 12:21 door Briolet
Uit interesse:
Hoe kun je vanuit het internet op een modem inloggen? Die heeft normaal geen eigen publiek IP adres. Via een inlog op het IP adres kom je normaal terecht op de router of PC die achter een modem hangt.
31-08-2017, 12:56 door Anoniem
Door Briolet: Uit interesse:
Hoe kun je vanuit het internet op een modem inloggen? Die heeft normaal geen eigen publiek IP adres. Via een inlog op het IP adres kom je normaal terecht op de router of PC die achter een modem hangt.

Jazeker wel. Meeste modems zijn ook routers, dus die hebben wel degelijk een public IP.
31-08-2017, 13:19 door spatieman
MS mode:
tis geen bug, maar een ongedocumenteerde optie !
31-08-2017, 13:47 door Anoniem
Door Anoniem:
...en een kernelmodule bedienen die als enig doel het injecteren van advertenties in onversleuteld webverkeer lijkt te hebben.

Waarom zou je een kernel module willen laden die advertenties, http verkeer, toevoegd??!!
Ok, wordt niet gebruikt. Maar waarom staat ie er dan toch.

Ik heb wel eens gehoord dat er soms zelfs kernel modules in modems zitten die IP adressen veranderen! Niet alleen
in de headers maar zelfs ook in de payload data. Het moest nie magge.
31-08-2017, 14:05 door Briolet
Door Anoniem:Jazeker wel. Meeste modems zijn ook routers, dus die hebben wel degelijk een public IP.

Een modem is echt wat anders dan een router. Veel consumenten verwarren die twee wel eens, maar bij een specialistische site zoals hier, mag je er toch van uit gaan dat de termen correct gebruikt worden.

Maar als ik de brontekst lees, betreft het hier inderdaad routers van Arris en geen modem.
31-08-2017, 19:52 door Anoniem
Door Briolet:
Door Anoniem:Jazeker wel. Meeste modems zijn ook routers, dus die hebben wel degelijk een public IP.

Een modem is echt wat anders dan een router. Veel consumenten verwarren die twee wel eens, maar bij een specialistische site zoals hier, mag je er toch van uit gaan dat de termen correct gebruikt worden.

Maar als ik de brontekst lees, betreft het hier inderdaad routers van Arris en geen modem.

Nope, zijn beiden VDSL-gateways. En ook daarop kun je via internet op inloggen via het publieke IP-adres. Om het nog schimmiger te maken: Elk kabel-, ADSL- en VDSL-modem heeft en een publiek IP-adres en een zogenaamd intern (niet-publiek) netwerk IP-adres, vergelijkbaar met je thuisnetwerk. Het publieke IP-adres kun je zien via bijvoorbeeld https://www.whatsmyip.org/[/url, met een beetje geluk kun je het interne netwerk IP-adres zien via de instellingen van het modem zelf en is niet zichtbaar via dezelfde website.
31-08-2017, 23:08 door Anoniem
@Briolet

Leuk programmaatje van Nir Sofer is NetworkInterfacesView om Device Name Connection Name IP Address en Subnet Mask te zien, dus mobiel bijvoorbeeld Wifi verbinding met IP adres en Ethernet IP adres.

Dus zonder beetje geluk van anoniem van 19:52, maar met een van de fijne free tooltjes van deze Israelische developer

luntrus
01-09-2017, 00:13 door Bitwiper
Door Anoniem: Het publieke IP-adres kun je zien via bijvoorbeeld https://www.whatsmyip.org/, met een beetje geluk kun je het interne netwerk IP-adres zien via de instellingen van het modem zelf en is niet zichtbaar via dezelfde website.
Maar als jouw webbrowser WebRTC ondersteunt is het interne IP-adres van jouw PC/device vaak wel vanaf internet te achterhalen, en daarmee kun je meestal in een paar pogingen het interne IP-adres van de router (inderdaad vaak tevens modem) raden. Zie bijv. https://browserleaks.com/webrtc.

Hoewel een aanvaller vanaf internet niet direct dat interne IP-adres van jouw router kan bereiken, kan dat wel via jouw webbrowser - indien de router een webinterface heeft (wat bijna altijd zo is bij thuis- en MKB routers). Dit heet een CSRF (Cross-Site Request Forgery) attack. Omdat een aanvaller vaak wel vanaf internet kan bepalen welk merk en type modem/router jij gebruikt (door "remote fingerprinting" maar bijv. ook als je er op een forum een vraag over gesteld hebt), en wat daarvan het default beheerwachtwoord is, of waar je niet van uitgelogd bent, of waarvoor jouw webbrowser het wachtwoord onthoudt, kan hij (blind) proberen instellingen op jouw modem/router te wijzigen door in een webpagina die jij bezoekt een fictieve URL zoals "http://192.168.0.1/ChangeDNSServers&DNS1=a.b.c.d" op te nemen.

En dat geldt natuurlijk niet alleen voor jouw modem/router, maar voor elk device (ook kleinere IoT devices) aan jouw interne netwerk.

Ook voor devices aan interne (vaak als "veilig" beschouwde) netwerken geldt dus dat je default wachtwoorden moet wijzigen. Overigens niet alleen vanwege CSRF aanvalsrisico's, ook op "trusted devices" kan onbetrouwbare software zijn geïnstalleerd zoals in https://www.kaspersky.com/blog/switcher-trojan-attacks-routers/13771/ beschreven wordt (een foute app op een smartphone, bij wijze van spreken van een vriendje van je zoon, volstaat).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.