image

Onderzoekers vinden lek in kabelmodems met Broadcom-chip

vrijdag 10 januari 2020, 17:12 door Redactie, 5 reacties

Onderzoekers hebben in kabelmodems met een Broadcom-chip een kwetsbaarheid ontdekt waardoor de apparaten op afstand over zijn te nemen als gebruikers een kwaadaardige website bezoeken of besmette advertentie te zien krijgen. De onderzoekers van het Deense securitybedrijf Lyrebirds schatten dat alleen in Europa tweehonderd miljoen kabelmodems kwetsbaar zijn of waren. Het gaat onder andere om apparaten van Netgear, Sagemcom, Technicolor en Compal.

Het werkelijke aantal is volgens de onderzoekers lastig vast te stellen. Dit komt doordat de kwetsbaarheid in de referentiesoftware aanwezig is, die weer door verschillende kabelmodemfabrikanten is gekopieerd bij het ontwikkelen van hun kabelmodemfirmware. De aanval is mogelijk door een combinatie van factoren. Zo zijn de modems niet beschermd tegen dns rebinding-aanvallen, maken ze gebruik van standaard inloggegevens en is er een kwetsbaarheid in de spectrum analyzer aanwezig. Dit is software waarmee de kabelmodem verbindingsproblemen kan vaststellen.

De kwetsbaarheid in de software is normaliter alleen toegankelijk vanaf het lokale netwerk. Via dns rebinding is het echter mogelijk voor een remote aanvaller om via de browser van de gebruiker bij lokale ip-adressen te komen en zo misbruik van het beveiligingslek in de software te maken. Sommige van de kwetsbare modems vereisen autorisatie voordat een aanvaller toegang kan krijgen. Alle geteste modems blijken standaard inloggegevens te accepteren.

Zodoende kan een aanvaller alsnog op het kabelmodem inloggen en de instellingen aanpassen en andere aanvallen uitvoeren. Het gaat dan bijvoorbeeld om het wijzigen van de standaard dns-server, het uitvoeren van man-in-the-middle-aanvallen, het aanpassen van de firmware en wijzigen van andere instellingen.

Een voorwaarde voor het uitvoeren van de aanval is wel dat de aanvaller erin slaagt om zijn kwaadaardige JavaScriptcode in de browser van het doelwit uit te voeren. Dit kan wanneer het doelwit een kwaadaardige website bezoekt of besmette advertentie te zien krijgt. Via de website Cablehaunt.com, zoals de kwetsbaarheid wordt genoemd, geven de onderzoekers meer details over het beveiligingslek.

Image

Reacties (5)
10-01-2020, 17:24 door Anoniem
Ah, weer een hippe naam met een identikit website vol met bangmakerij. Word ik zo moe van.

Anyhow, dat "dns rebinding" en "code executie in de browser" nodig is om dit te doen betekent dat de aanval via de browser en de beheerswebstek op het kabelmodem loopt. Dus niet dat alleen transport van bitjes het gat kan misbruiken. Dat scheelt alweer.
10-01-2020, 18:29 door Anoniem
Door Anoniem: Ah, weer een hippe naam met een identikit website vol met bangmakerij. Word ik zo moe van.

Anyhow, dat "dns rebinding" en "code executie in de browser" nodig is om dit te doen betekent dat de aanval via de browser en de beheerswebstek op het kabelmodem loopt. Dus niet dat alleen transport van bitjes het gat kan misbruiken. Dat scheelt alweer.
Ik vraag mij af of dat wel wijs is, als mensen je waarschuwen, en je zet vervolgens je oog- en oorkleppen op.
10-01-2020, 19:43 door Anoniem
Door Anoniem:
Door Anoniem: Ah, weer een hippe naam met een identikit website vol met bangmakerij. Word ik zo moe van.

Anyhow, dat "dns rebinding" en "code executie in de browser" nodig is om dit te doen betekent dat de aanval via de browser en de beheerswebstek op het kabelmodem loopt. Dus niet dat alleen transport van bitjes het gat kan misbruiken. Dat scheelt alweer.
Ik vraag mij af of dat wel wijs is, als mensen je waarschuwen, en je zet vervolgens je oog- en oorkleppen op.
Dat is niet wat er staat. Je hebt kennelijk meer moeite in het schrijven van een enkele zin gestopt dan in het begrijpen van wat je in z'n geheel aanhaalt.
12-01-2020, 13:50 door Anoniem
Door Anoniem: Ah, weer een hippe naam met een identikit website vol met bangmakerij. Word ik zo moe van.

Anyhow, dat "dns rebinding" en "code executie in de browser" nodig is om dit te doen betekent dat de aanval via de browser en de beheerswebstek op het kabelmodem loopt. Dus niet dat alleen transport van bitjes het gat kan misbruiken. Dat scheelt alweer.

Ja, dat scheelt alweer. Je vergeet alleen dat de payload ook via besmette advertenties binnen kan komen? Eenmaal binnen op je browser (een relatief simpel Python- of Javascriptje) kan het feest beginnen.
12-01-2020, 21:53 door Anoniem
Ziggo heeft nog modems van het type technicolor tc 7200U in dienst.

https://www.ziggo.nl/klantenservice/wifi/modem/technicolor-tc7200/

Zijn deze dan ook kwetsbaar?

Jaap
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.