KPN komt op korte termijn met een beveiligingsupdate voor een kwetsbaarheid in de ExperiaBox V10A en de VGV7519-router, zo laat de telecomprovider aan Security.NL weten. Gisteren meldde Security.NL dat een kwetsbaarheid in Arcadyan-gebaseerde modems en routers, waaronder die van KPN, het mogelijk maakt om de authenticatie te omzeilen en zo allerlei aanpassingen aan het apparaat door te voeren.
Het probleem wordt veroorzaakt door een path traversal-kwetsbaarheid in de webinterface van de apparaten. Hierdoor kan een ongeauthenticeerde aanvaller de authenticatie omzeilen en toegang krijgen tot onderdelen van het apparaat die normaliter alleen voor geauthenticeerde gebruikers toegankelijk zijn. Via het beveiligingslek is het mogelijk om de routerconfiguratie aan te passen.
Om misbruik van het beveiligingslek te kunnen maken moet een aanvaller toegang tot de webinterface hebben. In het geval van de ExperiaBox V10A en VGV7519 van KPN is dit alleen mogelijk via de LAN-kant, aldus een woordvoerder van het bedrijf.
"Van buitenaf kan dat alleen indien er toegang is tot de webinterface, dit is op de KPN-modems niet mogelijk. Dat neemt niet weg dat we deze kwetsbaarheid snel willen herstellen. We zijn met de leverancier in gesprek over een oplossing. Die oplossing ligt er al en we zullen deze in de eerstvolgende software-update meenemen", zo laat de woordvoerder verder weten. De update zal op zeer korte termijn worden uitgerold.
Deze posting is gelocked. Reageren is niet meer mogelijk.