Kwetsbaarheid in KPN ExperiaBox maakt omzeilen authenticatie mogelijk
Een kwetsbaarheid in Arcadyan-gebaseerde modems en routers, waaronder die van KPN, maakt het mogelijk om de authenticatie te omzeilen en zo allerlei aanpassingen aan het netwerkapparaat door te voeren. Dat melden securitybedrijf Tenable en het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.
De software van Arcadyan wordt niet alleen door het bedrijf zelf gebruikt, maar ook door andere partijen, waaronder ASUS, British Telecom, Buffalo, Deutsche Telekom, KPN, O2, Orange, Verizon, Vodafone en verschillende andere telecomproviders. In het geval van KPN is de kwetsbaarheid bevestigd in de ExperiaBox V10A (Arcadyan VRV9517) versie 5.00.48 build 453 en de KPN VGV7519 versie 3.01.116.
Een path traversal-kwetsbaarheid in de webinterface van de apparaten maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en toegang te krijgen tot onderdelen die normaliter alleen voor geauthenticeerde gebruikers toegankelijk zijn. Via het beveiligingslek is het mogelijk om de routerconfiguratie aan te passen, zo meldt het CERT/CC.
De instantie adviseert gebruikers om de laatste firmware-update te installeren als die beschikbaar is. Daarnaast wordt aangeraden om de beheerdersinterface niet toegankelijk vanaf het internet te maken. Uit een overzicht van Tenable blijkt dat het een lastig proces was om alle partijen te informeren. Het is dan ook onduidelijk of voor alle kwetsbare modellen updates beschikbaar zijn.
In het geval van telecomproviders houden die vaak de modems van hun klanten up-to-date. Security.NL heeft KPN gevraagd of het een update voor de kwetsbaarheid heeft uitgerold. Zodra dit bekend is zal het artikel worden bijgewerkt.
Gelukkig allemaal ZTE modems en geen Arcayan...
Hartslag weer 61 ipv 110.
Niet dat het heeeel erg was want ik heb er nog Fortigates en Meraki MX appliances achter staan, maar toch...
De bug is natuurlijk al dat je de webinterface vanaf het internet toegankelijk kunt maken. Als die optie er is, gaat een deel van de mensen dat doen omdat het praktisch lijkt.
De bug is natuurlijk al dat je de webinterface vanaf het internet toegankelijk kunt maken. Als die optie er is, gaat een deel van de mensen dat doen omdat het praktisch lijkt.
Die webinterface is er waarschijnlijk meer voor de ISP dan voor de gebruiker.
De bug is natuurlijk al dat je de webinterface vanaf het internet toegankelijk kunt maken. Als die optie er is, gaat een deel van de mensen dat doen omdat het praktisch lijkt.
Die webinterface is er waarschijnlijk meer voor de ISP dan voor de gebruiker.
Nee.
ISPs doen modem management via TR-069 .
De web interface (LAN-zijdig) is voor de gebruiker die wat moet instellen.
Dat het (ook) mogelijk is de webinterface extern benaderbaar te maken is voor het kleine aantal gebruikers die daar wat mee wil - mensen die zo'n ding semi zakelijk gebruiken op een paar locaties, voor vrienden/familie beheren etc.
Geen groot percentage , maar de feature "kan ook op WAN" is zo simpel dat die er altijd wel bijzit voor dat kleine percentage klanten die daar behoefte aan heeft .
Je hoopt dat het default uit staat.
De bug is natuurlijk al dat je de webinterface vanaf het internet toegankelijk kunt maken. Als die optie er is, gaat een deel van de mensen dat doen omdat het praktisch lijkt.
Die webinterface is er waarschijnlijk meer voor de ISP dan voor de gebruiker.
Webinterface doet KPN voor zo ver ik weet niks mee, ze hebben aan hun kan een andere interface die ze gebruiken. Nou zijn die KPN boxen wel echt ondingen, missen best wel wat functies die je van één beetje router kan verwachten. En ja voor mensen me hier op afkraken ik weet dat je het keuze recht hebt om te kiezen welk modem je aamsluit.
De bug is natuurlijk al dat je de webinterface vanaf het internet toegankelijk kunt maken. Als die optie er is, gaat een deel van de mensen dat doen omdat het praktisch lijkt.
Die webinterface is er waarschijnlijk meer voor de ISP dan voor de gebruiker.
Nee.
ISPs doen modem management via TR-069 .
De web interface (LAN-zijdig) is voor de gebruiker die wat moet instellen.
Dat het (ook) mogelijk is de webinterface extern benaderbaar te maken is voor het kleine aantal gebruikers die daar wat mee wil - mensen die zo'n ding semi zakelijk gebruiken op een paar locaties, voor vrienden/familie beheren etc.
Als je zo iets wilt, zet er dan alsjeblieft een router of ander systeem aan de binnenkant achter wat je met een VPN
kunt bereiken en waar je het beheer "van binnenuit" kunt blijven doen. Een router (dus ook die VPN router die je er
achter zet) van buitenaf benaderbaar maken dat is gewoon vragen om problemen, welk merk het ook is. Die router
fabrikanten smijten maar wat standaardmodules bij elkaar en een fatsoenlijke webserver zit daar niet bij, het is in de
loop der tijd al vele vele keren voorgekomen dat dit soort issues naar buiten kwamen en iedere keer bij andere merken,
meestal ook bij hele kuddes tegelijk omdat ze allemaal dezelfde zut gebruiken.
En nou maar hopen dat de VPN en firewall code niet net zo brak is...
De paar zakelijke gebruikers kunnen beter overstappen op VPN voor dit soort beheer. Mijn Ubee heeft geen mogelijkheid om de webinterface via WAN toegangkelijk te maken, maar ik kan het zo doen via VPN.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
