Een kwetsbaarheid in Arcadyan gebaseerde modems/routers, waaronder de ExperiaBox V10A en de VGV7519-router van KPN, wordt actief aangevallen. Dat stelt netwerkbedrijf Juniper in een analyse. Het beveiligingslek, CVE-2021-20090, bevindt zich in de webinterface van de Arcadyan-firmware en zorgt ervoor dat een aanvaller door middel van path traversal de authenticatie kan omzeilen.
Via de kwetsbaarheid is het mogelijk om de routerconfiguratie aan te passen en een Telnet-shell in te schakelen om toegang te behouden. Volgens securitybedrijf Tenable is de kwetsbaarheid al zeker tien jaar in de firmware van Arcadyan aanwezig en is zodoende terechtgekomen in twintig modellen modems/routers van zeventien verschillende leveranciers. De apparaten in kwestie worden door zeker dertien internetproviders in elf landen gebruikt.
Juniper meldt nu dat aanvallers de kwetsbaarheid gebruiken om apparaten met een variant van de Mirai-malware te infecteren. Via het beveiligingslek schakelen de aanvallers Telnet in en installeren vervolgens de malware. Het apparaat wordt zo onderdeel van een botnet. Waarvoor besmette apparaten worden gebruikt laat Juniper niet weten, maar in het verleden werden met Mirai besmette apparaten voor onder andere ddos-aanvallen ingezet.
KPN liet vorige maand al aan Security.NL weten dat het beveiligingslek in de ExperiaBox V10A en de VGV7519-router is gepatcht. Daarnaast is de webinterface bij de KPN-apparaten niet toegankelijk vanaf het internet.
Deze posting is gelocked. Reageren is niet meer mogelijk.