Lek in KPN-modems maakte aanpassen DNS mogelijk
Een kwetsbaarheid in de ExperiaBox V8-modems van KPN die bij nieuwe glasvezelverbindingen worden geleverd waren kwetsbaar voor een aanval waarbij het mogelijk was om verschillende instellingen te wijzigen als gebruikers het standaardwachtwoord niet hadden gewijzigd en een website met kwaadaardige code bezochten. Het lek werd vorig jaar juli door een onderzoeker van Intelworks ontdekt, zo is nu bekend geworden.
Het ging om een zogenaamde CSRF-kwetsbaarheid, waarbij de webgebaseerde configuratiemodule van de ExperiaBox V8-modem niet controleerde of een bepaalde handeling, zoals het wijzigen van de configuratie van de modem, door de gebruiker of een andere partij werd uitgevoerd. In het geval het standaardwachtwoord niet was gewijzigd en er een website met de CSRF-code van een aanvaller werd bezocht, kon die vervolgens DNS-instellingen, wifi-instellingen en andere instellingen wijzigen, zonder dat gebruikers dit direct door zouden hebben.
Door het aanpassen van de DNS-instellingen zou het mogelijk zijn geweest om het verkeer van de aangevallen gebruiker via de server van de aanvaller te laten lopen. Ook had de aanvaller de wifi-beveiliging bijvoorbeeld kunnen uitschakelen. Op verzoek van KPN heeft de fabrikant van de ExperiaBox V8-modems, Arcadyan, de kwetsbaarheid via een firmware-update verholpen. Eind november was het niet meer mogelijk om de kwetsbaarheid te misbruiken.
Met de garantie dat die eigen router wel volledig veilig is? Ik ben het zeker niet oneens met de opzet, maar een brakke router achter een KPN modem, of een eigen modem/router combi die brak is levert mogelijk hetzelfde issue op.
Als je hem op je computer zelf specificeert, dan heb je toch geen last meer van veiligheidslekken in je router ?
Als je hem op je computer zelf specificeert, dan heb je toch geen last meer van veiligheidslekken in je router ?
Omdat niet iedereen de behoefte heeft om op elk device in huis handmatig de DNS servers te configureren, maar via DHCP. Natuurlijk is het zo dat veel thuis routers standaard hun eigen IP adres als DNS server meegeven bij het gebruik van DHCP, maar vervolgens wordt er 'geforward' naar de gespecificeerden Ik doe zelf beide, sommige devices handmatig, andere automatisch.
Met de garantie dat die eigen router wel volledig veilig is? Ik ben het zeker niet oneens met de opzet, maar een brakke router achter een KPN modem, of een eigen modem/router combi die brak is levert mogelijk hetzelfde issue op.
Theoretisch wel, maar het gaat in gevallen als deze om de massa en als jouw KPN router is aangepast, zullen ze niet snel verder kijken. Natuurlijk, als het alleen om jou te doen is dan wordt het een ander verhaal.
Eens. Mijn punt is dat de eerdere redenatie niet te letterlijk opgevat moet worden, dus 'als ik een eigen modem/router plaats en de DNS daarop aanpas, dan ben ik veilig wat betreft deze kwetsbaarheid'. Er staat mij bij dat er ook andere devices dan de Experia (een Zyxel of een D-Link, maakt verder niet zoveel uit) een soort gelijke kwetsbaarheid hadden. Goed de ogen en oren open blijven houden voor updates en mogelijke kwetsbaarheden op jouw apparaat blijft een vereiste.
Hoewel ik de term knuffelhacker walgelijk vindt :-), ja als zij dit device inderdaad hebben getest, hadden zij dit eigenlijk moeten vinden. Neemt niet weg dat de randvoorwaarde van de kwetsbaarheid wel heel erg is: "...gebruikers het standaardwachtwoord niet hadden gewijzigd". Of te wel indien je dat wel had gedaan, was je ook niets kwetsbaar.
Als je hem op je computer zelf specificeert, dan heb je toch geen last meer van veiligheidslekken in je router ?
Omdat niet iedereen de behoefte heeft om op elk device in huis handmatig de DNS servers te configureren, maar via DHCP. Natuurlijk is het zo dat veel thuis routers standaard hun eigen IP adres als DNS server meegeven bij het gebruik van DHCP, maar vervolgens wordt er 'geforward' naar de gespecificeerden Ik doe zelf beide, sommige devices handmatig, andere automatisch.
Dus dan liever een andere router kopen om de veiligheid te vergroten ?
Dan kun je dat net zo goed met de geleverde router doen toch?
Het gaat hier niet over mensen die al weten wat ze doen, maar over mensen die gewoon internet kopen en verwachten
dat ze dan klaar zijn. Die worden kennelijk door de monteur niet goed bediend (die zou ze erbij moeten vragen voor
een ander wachtwoord of ze een zelf ingesteld random wachtwoord moeten overhandigen).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.