image

KPN komt met beveiligingsupdate voor kwetsbaarheid in ExperiaBox

donderdag 22 juli 2021, 13:44 door Redactie, 6 reacties

KPN komt op korte termijn met een beveiligingsupdate voor een kwetsbaarheid in de ExperiaBox V10A en de VGV7519-router, zo laat de telecomprovider aan Security.NL weten. Gisteren meldde Security.NL dat een kwetsbaarheid in Arcadyan-gebaseerde modems en routers, waaronder die van KPN, het mogelijk maakt om de authenticatie te omzeilen en zo allerlei aanpassingen aan het apparaat door te voeren.

Het probleem wordt veroorzaakt door een path traversal-kwetsbaarheid in de webinterface van de apparaten. Hierdoor kan een ongeauthenticeerde aanvaller de authenticatie omzeilen en toegang krijgen tot onderdelen van het apparaat die normaliter alleen voor geauthenticeerde gebruikers toegankelijk zijn. Via het beveiligingslek is het mogelijk om de routerconfiguratie aan te passen.

Om misbruik van het beveiligingslek te kunnen maken moet een aanvaller toegang tot de webinterface hebben. In het geval van de ExperiaBox V10A en VGV7519 van KPN is dit alleen mogelijk via de LAN-kant, aldus een woordvoerder van het bedrijf.

"Van buitenaf kan dat alleen indien er toegang is tot de webinterface, dit is op de KPN-modems niet mogelijk. Dat neemt niet weg dat we deze kwetsbaarheid snel willen herstellen. We zijn met de leverancier in gesprek over een oplossing. Die oplossing ligt er al en we zullen deze in de eerstvolgende software-update meenemen", zo laat de woordvoerder verder weten. De update zal op zeer korte termijn worden uitgerold.

Reacties (6)
22-07-2021, 15:16 door Anoniem
Is het met deze boxen eigenlijk nog zo dat als KPN een software update forceert, de box altijd ook terug gezet wordt naar default settings? Dat was in het verleden wel zo met Experiaboxen, maar kan zijn dat dit met een andere fabrikant was.
(Experiabox is alleen een label op een modem/router die van allerlei verschillende merken kan zijn)
22-07-2021, 16:00 door Anoniem
Door Anoniem: Is het met deze boxen eigenlijk nog zo dat als KPN een software update forceert, de box altijd ook terug gezet wordt naar default settings? Dat was in het verleden wel zo met Experiaboxen, maar kan zijn dat dit met een andere fabrikant was.
(Experiabox is alleen een label op een modem/router die van allerlei verschillende merken kan zijn)

ik heb op de ZTE kpn modems speciale instellingen ingesteld en die zijn niet veranderd met updates (of ze zijn de afgelopen 12 maanden niet geupdatet. wat de arcadyan updates doen kan ik niet zeggen.
22-07-2021, 16:28 door Anoniem
Door Anoniem:
ik heb op de ZTE kpn modems speciale instellingen ingesteld en die zijn niet veranderd met updates (of ze zijn de afgelopen 12 maanden niet geupdatet. wat de arcadyan updates doen kan ik niet zeggen.
Ik heb zelf (nog...) geen KPN DSL lijn maar ik heb van collega's diverse malen gehoord dat dingen zoals een zelf ingestelde
WiFi SSID en wachtwoord keer op keer terug veranderden in de default als er weer eens een update geweest was.
Dus ik hoop voor de Experiabox bezitters dat dit nu niet meer zo is.
(dit gold ook voor aanpassingen van het LAN IP adres en poort forwards, maar dat gebruiken niet zo veel mensen als
de WiFi)
22-07-2021, 18:08 door linuxpro
Door Anoniem: Is het met deze boxen eigenlijk nog zo dat als KPN een software update forceert, de box altijd ook terug gezet wordt naar default settings? Dat was in het verleden wel zo met Experiaboxen, maar kan zijn dat dit met een andere fabrikant was.
(Experiabox is alleen een label op een modem/router die van allerlei verschillende merken kan zijn)

Yep, dingen als afwijkende ip-adressen, wel of geen wifi en dingen als portforwarding ben je dan weer kwijt. Maak regelmatig een backup van je instellingen en restore deze na de zoveelste upgrade.
22-07-2021, 21:53 door Anoniem
Ik heb een v10A en ben nog nooit een door mij aangepaste instelling kwijt geraakt na een firmware update die altijd 's nachts plaats vind. Off Topic: ben nu ruim twee jaar KPN abonnee (DSL) en nog nooit een storing meegemaakt. Was bij de kabelaar voor die tijd wel anders.
26-07-2021, 08:35 door Anoniem
De security firmware update voor Expirabox 10a in de nacht 22 op 23 juli al binnen gekregen, de instellingen die op de Experiabox zijn ingesteld zijn gewoon behouden gebleven. KPN stuurde netjes vooraf een SMS dat ze dit gingen doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.