Een kwetsbaarheid in Arcadyan-gebaseerde modems en routers, waaronder die van KPN, maakt het mogelijk om de authenticatie te omzeilen en zo allerlei aanpassingen aan het netwerkapparaat door te voeren. Dat melden securitybedrijf Tenable en het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.
De software van Arcadyan wordt niet alleen door het bedrijf zelf gebruikt, maar ook door andere partijen, waaronder ASUS, British Telecom, Buffalo, Deutsche Telekom, KPN, O2, Orange, Verizon, Vodafone en verschillende andere telecomproviders. In het geval van KPN is de kwetsbaarheid bevestigd in de ExperiaBox V10A (Arcadyan VRV9517) versie 5.00.48 build 453 en de KPN VGV7519 versie 3.01.116.
Een path traversal-kwetsbaarheid in de webinterface van de apparaten maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en toegang te krijgen tot onderdelen die normaliter alleen voor geauthenticeerde gebruikers toegankelijk zijn. Via het beveiligingslek is het mogelijk om de routerconfiguratie aan te passen, zo meldt het CERT/CC.
De instantie adviseert gebruikers om de laatste firmware-update te installeren als die beschikbaar is. Daarnaast wordt aangeraden om de beheerdersinterface niet toegankelijk vanaf het internet te maken. Uit een overzicht van Tenable blijkt dat het een lastig proces was om alle partijen te informeren. Het is dan ook onduidelijk of voor alle kwetsbare modellen updates beschikbaar zijn.
In het geval van telecomproviders houden die vaak de modems van hun klanten up-to-date. Security.NL heeft KPN gevraagd of het een update voor de kwetsbaarheid heeft uitgerold. Zodra dit bekend is zal het artikel worden bijgewerkt.
Deze posting is gelocked. Reageren is niet meer mogelijk.