Spaanse ISP laat lek in ADSL-routers al 2 jaar zitten
Een Spaanse beveiligingsonderzoeker heeft een ernstig lek in de ADSL-routers van fabrikant Pirelli openbaar gemaakt nadat zowel Pirelli als de Spaanse internetprovider Movistar Telefonica de kwetsbaarheid al twee jaar negeren. Eduardo Novella ontdekte dat het mogelijk is om de beheerderpagina's van de router direct via het internet en zonder wachtwoord te benaderen.
Het enige dat een aanvaller moet weten is de naam van de betreffende beheerderpagina en het IP-adres van de router. Vervolgens kan een aanvaller wachtwoorden van het wifi-netwerk opvragen, DNS-servers aanpassen, poorten openzetten en meer. De onderzoeker ontdekte meer dan 150 HTML-pagina's die direct benaderbaar zijn. Novella rapporteerde het probleem in de Pirelli ADSL2/2+ Wireless Router P.DGA4001N begin 2013 aan Pirelli en Movistar Telefonica, de grootste internetprovider in Spanje. Movistar Telefonica levert de ADSL-routers namelijk aan klanten.
Van beide partijen kreeg de onderzoeker geen reactie, waarop hij zijn bevindingen nu besloot te publiceren en onderstaande demonstratievideo maakte. "Dit lek is op afstand te gebruiken en moet zo snel als mogelijk worden gepatcht. Een aanvaller kan hiermee het netwerk monitoren of de router onderdeel van een botnet maken", zo waarschuwt Novella. Aangezien er geen update beschikbaar is adviseert hij een alternatief besturingssysteem zoals OpenWRT of DDWRT te installeren of verbindingen van buitenaf niet toe te staan. "Deze oplossing zou voldoende bescherming bieden."
Te zien aan de NoScript S-button die nog op "Scripts Globally Allowed (Dangerous)" staat.
Neem wanneer je Torbrowser gaat gebruiken de NoScript settings door, deactiveer de 'Globally Allowed' setting!
Bekijk onder meer in ieder geval opties onder 'Embeddings' en de 'Temporary Allow' opties voor het maken van aanvullende security keuzes.
;-)
Logisch resultaat (zo'n 20 - 30 jaar geleden al voorspeld) is dat het de winstmakers geen ene ruk interesseert.
Waarom zou je ook? De concurrentie doet het ook niet, dus als jij het wel doet (om van die rare redenen als consumenten beschermen en zo, of, uiteindelijk, nationale infrastructuur) dan ga je nooit onder de prijs van de concurrent kunnen duiken. Dus dan maar niet, eh?
Twee jaar is trouwens niets. Sommige mondiale spelers laten veel ernstige lekken veel en veel langer zitten zonder er welke ruchtbaarheid dan ook aan te geven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.