image

Cisco dicht ernstig lek in modems UPC, ZeelandNet en Ziggo

donderdag 17 juli 2014, 12:47 door Redactie, 24 reacties
Laatst bijgewerkt: 21-07-2014, 10:40

Cisco heeft een belangrijke update voor een ernstig lek in verschillende kabelmodems uitgebracht, die onder andere door klanten van UPC, ZeelandNet en Ziggo worden gebruikt. Via het lek, dat zich in de webserver van de modem bevindt, kan een aanvaller willekeurige code op het apparaat uitvoeren.

Hierdoor bestaat de mogelijkheid dat een aanvaller de modem kan overnemen. Om het lek te misbruiken zou het versturen van een speciaal geprepareerd HTTP-request volstaan. Cisco heeft het lek een maximale CVSS-score van 10.0 gegeven, wat de impact van de kwetsbaarheid weergeeft. De aanval zou namelijk eenvoudig zijn uit te voeren en heeft een zeer grote impact.

Kwetsbare modellen

Het probleem in de kabelmodems werd door beveiligingsonderzoeker Chris Watts van Tech Analysis direct aan Cisco gerapporteerd. Er zijn dan ook geen meldingen van misbruik bekend. De kwetsbaarheid is aanwezig in de Cisco DPC3212, EPC3212, DPC3825, EPC3825, DPC3010, EPC3010, DPC3925, DPQ3925 en EPC3925 modems. De EPC3825 en EP3925 zijn bij UPC in gebruik, terwijl Ziggo-klanten de EPC3212 en EPC3925 als kabelmodems gebruiken. Ook ZeelandNet blijkt de EPC3925 en EPC3212 te gebruiken.

Cisco zegt dat het de beveiligingsupdate voor het probleem onder de serviceproviders heeft uitgerold die het als klant heeft. Het is dan ook niet de bedoeling dat abonnees van deze serviceproviders de update zelf installeren. "Klanten met Cisco-producten die via derde partijen worden geleverd, zoals geautoriseerde resellers of serviceproviders, moeten met deze partijen contact opnemen over de te nemen maatregelen", zo laat de netwerkgigant weten. Internetproviders kunnen de modems op afstand updaten indien nodig.

ZeelandNet

De Zeeuwse internetprovider ZeelandNet laat op de eigen website weten dat klanten zich geen zorgen hoeven te maken. De provider zou de firmware-update voor de kwetsbare modellen al onder abonnees hebben uitgerold. "Onze leverancier heeft bevestigd dat DELTA/ZeelandNet de juiste updates op tijd heeft uitgevoerd en de kwetsbaarheden, zoals vandaag via verschillende media werden gemeld, niet van toepassing zijn voor klanten van DELTA/ZeelandNet", aldus de provider.

UPC en Ziggo

Providers UPC en Ziggo verklaren tegenover Webwereld dat de aan klanten geleverde kabelmodems niet kwetsbaar zijn. Volgens een woordvoerder van Ziggo beschikken de modems namelijk over een recentere firmware-versie die niet kwetsbaar is. Ook UPC meldt dat het gerapporteerde lek vanwege de nieuwere firmware "geen impact" heeft.

Reacties (24)
17-07-2014, 13:09 door Preddie - Bijgewerkt: 17-07-2014, 13:33
Met andere woorden, er is een lek. Een ernstig lek of liever gezegd een kwetsbaarheid, voor deze kwetsbaarheid is een oplossing beschikbaar echter kun u deze oplossing niet implementeren want dit moet gebeuren door de provider maar wanneer de kwetsbaarheid wordt misbruikt en u slachtoffer wordt is het aannemelijk dat u een groot probleem kunt hebben waarvoor u zeer waarschijnlijk de provider niet aansprakelijk gesteld kan worden.

Immers vraag ik me af wanneer UPC van plan is haar klanten in te lichten over deze kwetsbaarheid ..... ? Iemand al een bericht gehad? of welke wijze dan ook.....
17-07-2014, 13:20 door Anoniem
Ik heb ze er net over gebeld, ze wisten er nog niet eens vanaf...
17-07-2014, 13:24 door Anoniem
Predjuh, je modem krijg je van je provider in bruikleen. Het is dus niet juist om te stellen dat de provider niet aansprakelijk gesteld kan worden.
17-07-2014, 13:24 door Anoniem
Ook ZeelandNet maakt gebruik van deze modems (ik heb de EPC3212). Abonnees zijn hier (nog) niet over ingelicht.
17-07-2014, 14:07 door Anoniem
Ik ben per augustus ook weer terug bij UPC,na een avontuur bij canaldigitaal van ruim 2 jaar,maar ja doordat ik traag internet had,en veel sneller wilde en het op een andere manier niet kon ben ik terug gegaan naar UPC.
Het Zenderaanbod is ook wel snor bij UPC.
Maar goed daar gaat het niet om,ik krijg de Technicolor modem omdat ik niet wil dat mijn Horizonbox wordt geactiveerd voor internet en telefonie.
Zo heb ik meer vrijheid in met mijn instellingen.
Ik zal ook mijn netwerknaam hetzelfde blijven houden,en de wachtwoorden hetzelfde.
Zodat ik met mijn apparaten die van het interne netwerk gebruik maken ik niets hoef te doen.
De netwerkadressen zal ik intern ook namelijk hetzelfde houden,en ik blijf dan ook gebruik van openvpn via Mullvad maken.
Maar goed weer terug naar de Cisco modems,deze worden nog heel veel gebruikt,dus wel fijn dat er een update komt.
Dat voor de mensen die nog zo'n koelkast hebben staan,want die dingen zijn best groot voor een modem.
17-07-2014, 14:46 door Anoniem
Upc gebruikt ook de EPC3212. Die heb ik namelijk.
17-07-2014, 14:51 door Anoniem
Leuk ook dat er op de website van UPC en Ziggo niks te melden hebben op hun websites.

Kudo's aan Zeelandnet: http://www.zeelandnet.nl/overzeelandnet/kwetsbaarheid-cisco
17-07-2014, 15:28 door Briolet
Door Anoniem: Ik heb ze er net over gebeld, ze wisten er nog niet eens vanaf...

Als je goed in de aankondiging kijkt heeft Cisco deze bug pas gisteren bekend gemaakt. Dan is het ook hoogst onwaarschijnlijk dat een helpdesk dit nu al weet. Hooguit de technici die over de routers gaan.

Verder betreft het een bug in de webinterface. Dan lijkt het me niet dat deze vanaf het internet te misbruiken is, alleen vanuit je eigen netwerk.
17-07-2014, 15:34 door Preddie
Door Anoniem: Predjuh, je modem krijg je van je provider in bruikleen. Het is dus niet juist om te stellen dat de provider niet aansprakelijk gesteld kan worden.

ik weet dat het apparaat in bruikleen is, maar de achterliggende systemen en netwerken niet.

Directe schade aan de modem zul je vergoed krijgen, directe schade aan achterliggende apparatuur wordt al een stuk moeilijker (als dit uberhaupt mogelijk is, ik heb hier de kennis niet voor) en dan heb je eventueel nog indirecte schade door gegevens gestolen en misbruikt kunnen worden. Dit wordt een zeer lastige maar dit laatste kan je wel tot in het oneindige blijven volgen, al is dit kans klein.
17-07-2014, 15:35 door Preddie
Door Anoniem: Leuk ook dat er op de website van UPC en Ziggo niks te melden hebben op hun websites.

Kudo's aan Zeelandnet: http://www.zeelandnet.nl/overzeelandnet/kwetsbaarheid-cisco

+1 voor Zeelandnet, als ik het goed begrijp hebben deze reeds de fix geïnstalleerd. Ik heb zelf geen Zeelandnet dus kan dit niet controleren maar ik vindt dat zij zeer adequaat reageren ...
17-07-2014, 15:52 door yobi
Blijkbaar geen probleem en is dit in het verleden reeds opgelost: http://tweakers.net/nieuws/97351/kabelmodems-cisco-bevatten-gevaarlijk-lek.html
17-07-2014, 16:00 door Anoniem
UPDATE 15.35 uur: Ziggo laat weten dat hun Cisco-modems, waarvan er zo'n half miljoen in omloop zijn, niet kwetsbaar zijn. "Die hebben al een recentere firmware-versie die niet kwetsbaar is, dat heeft Cisco ons bevestigd", aldus de woordvoerder. Ook UPC weet nu te melden dat het 'geen impact' heeft, vanwege eveneens recentere firmware-versies die het draait.

bullshit:
Current Software Revision: e3200-ESIP-16-v302r125562-130611c_upc
Firmware Name: e3200-ESIP-16-v302r125562-130611c_upc.bin
Firmware Build Time: Jun 11 11:11:07 2013

JUNI 2013!!!!!
17-07-2014, 16:01 door Anoniem
De kwetsbaarheid is alleen te gebruiken als het kabelmodem is ingesteld in router- of gateway-modus. Desondanks noemt Cisco het lek zeer kritiek en belooft het met patches te komen om het gat in de firmware te dichten. Er is momenteel geen work-around beschikbaar om het lek te dichten.

/// bij UPC staat deze dus in bridge mode
17-07-2014, 16:34 door Briolet
Door Anoniem: De kwetsbaarheid is alleen te gebruiken als het kabelmodem is ingesteld in router- of gateway-modus.

Dat betwijfel ik omdat de EPC3212 ook in de lijst met kwetsbare apparaten staat en dat is een modem-only apparaat, dus zonder ingebouwde router. De EPC3212 heeft alleen een webinterface om de modemwaardes uit te lezen.

Ik vraag me overigens wel af of zo'n modem-only apparaat wel de hardware in huis heeft om gevaarlijk te worden voor de gebruiker.
17-07-2014, 17:49 door Anoniem
Door Anoniem: Leuk ook dat er op de website van UPC en Ziggo niks te melden hebben op hun websites.

Kudo's aan Zeelandnet: http://www.zeelandnet.nl/overzeelandnet/kwetsbaarheid-cisco

Dit is omdat de [custom] firmware op de Ziggo modems niet kwetsbaar is.
17-07-2014, 18:08 door Dick99999 - Bijgewerkt: 17-07-2014, 18:40
Door Briolet:
Door Anoniem: Ik heb ze er net over gebeld, ze wisten er nog niet eens vanaf...

Als je goed in de aankondiging kijkt heeft Cisco deze bug pas gisteren bekend gemaakt. Dan is het ook hoogst onwaarschijnlijk dat een helpdesk dit nu al weet. Hooguit de technici die over de routers gaan.

Verder betreft het een bug in de webinterface. Dan lijkt het me niet dat deze vanaf het internet te misbruiken is, alleen vanuit je eigen netwerk.

Nee, ook via Internet. Je kan toch gewoon een 'onzinnige' html request via Internet sturen,? Omdat het over een bufferoverflow gaat, maakt het niet uit dat er geen antwoord komt. Mijn foute opmerking over port 80 heb ik weggehaald

Cisco geeft aan:
"A vulnerability in the web server used in multiple Cisco Wireless Residential Gateway products could allow an unauthenticated, remote attacker to exploit a buffer overflow and cause arbitrary code execution.

The vulnerability is due to incorrect input validation for HTTP requests. An attacker could exploit this vulnerability by sending a crafted HTTP request to the affected device. Cisco has released free software updates that address this vulnerability. Workarounds that mitigate this vulnerability are not available."
17-07-2014, 21:21 door Anoniem
Tja ik weet niet hoe het met dr tricolour modem is.
Misschien is het gewoon handig,als je echt je eigen veiligheid wil regelen zelf een passende router te kopen.
Daar kan je tenminste altijd als er nieuwe firmware voor is,hem zelf bijwerken.
18-07-2014, 00:27 door Erik van Straten
Uit http://www.theregister.co.uk/2014/07/17/got_a_cisco_modem_or_router_a_patch_is_on_the_way/:
The HTTP web server is provided in the devices' firmware to allow them to be configured from across the public internet. For example, the documentation for the vulnerable DPC3825 and EPC3825 models reads: "The protocol HTTP is required for remote management. To remotely access the device, enter https://xxx.xxx.xxx.xxx:8080 (the x's represent the device's public Internet IP address, and 8080 represents the specified port) in your web browser's address field."

Although this remote management feature can be disabled in the aforementioned devices, Cisco says there is no workaround for the bug.
Aangezien uitzetten van remote administration kennelijk geen workaround biedt en Cisco in 2008 de bedenker van het "Home Network Administration Protocol" (HNAP) protocol (Pure Networks) heeft overgenomen, vermoed ik dat het nu om een kwetsbaarheid (buffer overflow) in de https service voor HNAP gaat.

Uit https://isc.sans.edu/diary/Linksys+Worm+TheMoon+Summary+What+we+know+so+far/17633 (13 februari 2013):
The worm will connect first to port 8080, and if necessary using SSL, to request the "/HNAP1/" URL.
Nb. de kwetsbaarheid zat toen niet in HNAP (aldus "pktman" in https://isc.sans.edu/forums/diary/More+on+HNAP+-+What+is+it+How+to+Use+it+How+to+Find+it/17648#29801), maar aanvallers gebruikten HNAP om vast te stellen of ze met een kwetsbaar modem te maken hadden.

In een volgend comment in laatstgenoemde URL suggereert "pktman" om, als workaround, port forwarding voor poort 8080 naar een niet gebruikt intern IP-adres op te zetten. Echter, of dit pakketjes daadwerkelijk wegkaapt voordat ze de https service in kwetsbare modems bereiken, weet ik niet (ik heb geen Cisco modem dus kan het niet testen).

Als noodmaatregel (totdat devices zijn geupdate) zouden ISP's verkeer naar poort 8080 van hun klanten kunnen blokkeren. Denkbaar is dat Cisco voor ISP's (zoals UPC en Ziggo) firmware heeft uitgegeven die by default geen https op 8080 heeft draaien (en/of geen HNAP ondersteunt).
18-07-2014, 08:43 door Anoniem
... het kan altijd nog erger; https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20140716-3_Bitdefender_GravityZone_Multiple_critical_vulnerabilities_v10.txt
18-07-2014, 09:32 door Anoniem
Op het forum van UPC wordt aangeven dat hun modems ook al up-to-date zijn. Maar de firmware van mijn Cisco EPC3925 modem is van vorig jaar...

Model: Cisco EPC3925

Current Software Revision: epc3925-ESIP-12-v302r125573-131230c_upc
Firmware Name: epc3925-ESIP-12-v302r125573-131230c_upc.bin
Firmware Build Time: Dec 30 12:49:43 2013
18-07-2014, 12:58 door Anoniem
Bij mij precies hetzelfde, ook EPC3925 en firmware van vorig jaar.
19-07-2014, 10:45 door Anoniem
UPC geeft in reactie op mijn Tweet aan dat de firmware van 30-12-2013 de juiste versie voor mijn EPC3925 modem is.

Blijkbaar gebruiken ze dus eigen firmware.
25-07-2014, 16:54 door Anoniem
Ziggo heeft hier toch wel de firmware bijgewerkt (heb geen aankondiging gezien), wat dan een bedrijfsuitval van een 3 1/2 uur kostte, vanaf iets over acht--net als bij de vorige update, overigens. Het was epc3925-E10-5-v302r125572-130520c-ZIG en is nu e3925-E10-5-c1200r5592-140523c-ZIG.
05-05-2015, 22:03 door Anoniem
Zit hier nog steeds op epc3925-E10-5-v302r125572-130520c-ZIG, uit 2013.
Hebben ze geen zin om de klanten uptodate te houden?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.