Kwetsbaarheid in KPN ExperiaBox maakt omzeilen authenticatie mogelijk
Een kwetsbaarheid in Arcadyan-gebaseerde modems en routers, waaronder die van KPN, maakt het mogelijk om de authenticatie te omzeilen en zo allerlei aanpassingen aan het netwerkapparaat door te voeren. Dat melden securitybedrijf Tenable en het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.
De software van Arcadyan wordt niet alleen door het bedrijf zelf gebruikt, maar ook door andere partijen, waaronder ASUS, British Telecom, Buffalo, Deutsche Telekom, KPN, O2, Orange, Verizon, Vodafone en verschillende andere telecomproviders. In het geval van KPN is de kwetsbaarheid bevestigd in de ExperiaBox V10A (Arcadyan VRV9517) versie 5.00.48 build 453 en de KPN VGV7519 versie 3.01.116.
Een path traversal-kwetsbaarheid in de webinterface van de apparaten maakt het mogelijk voor een ongeauthenticeerde aanvaller om de authenticatie te omzeilen en toegang te krijgen tot onderdelen die normaliter alleen voor geauthenticeerde gebruikers toegankelijk zijn. Via het beveiligingslek is het mogelijk om de routerconfiguratie aan te passen, zo meldt het CERT/CC.
De instantie adviseert gebruikers om de laatste firmware-update te installeren als die beschikbaar is. Daarnaast wordt aangeraden om de beheerdersinterface niet toegankelijk vanaf het internet te maken. Uit een overzicht van Tenable blijkt dat het een lastig proces was om alle partijen te informeren. Het is dan ook onduidelijk of voor alle kwetsbare modellen updates beschikbaar zijn.
In het geval van telecomproviders houden die vaak de modems van hun klanten up-to-date. Security.NL heeft KPN gevraagd of het een update voor de kwetsbaarheid heeft uitgerold. Zodra dit bekend is zal het artikel worden bijgewerkt.
Gelukkig allemaal ZTE modems en geen Arcayan...
Hartslag weer 61 ipv 110.
Niet dat het heeeel erg was want ik heb er nog Fortigates en Meraki MX appliances achter staan, maar toch...
De bug is natuurlijk al dat je de webinterface vanaf het internet toegankelijk kunt maken. Als die optie er is, gaat een deel van de mensen dat doen omdat het praktisch lijkt.
De bug is natuurlijk al dat je de webinterface vanaf het internet toegankelijk kunt maken. Als die optie er is, gaat een deel van de mensen dat doen omdat het praktisch lijkt.
Die webinterface is er waarschijnlijk meer voor de ISP dan voor de gebruiker.
De bug is natuurlijk al dat je de webinterface vanaf het internet toegankelijk kunt maken. Als die optie er is, gaat een deel van de mensen dat doen omdat het praktisch lijkt.
Die webinterface is er waarschijnlijk meer voor de ISP dan voor de gebruiker.
Nee.
ISPs doen modem management via TR-069 .
De web interface (LAN-zijdig) is voor de gebruiker die wat moet instellen.
Dat het (ook) mogelijk is de webinterface extern benaderbaar te maken is voor het kleine aantal gebruikers die daar wat mee wil - mensen die zo'n ding semi zakelijk gebruiken op een paar locaties, voor vrienden/familie beheren etc.
Geen groot percentage , maar de feature "kan ook op WAN" is zo simpel dat die er altijd wel bijzit voor dat kleine percentage klanten die daar behoefte aan heeft .
Je hoopt dat het default uit staat.
De bug is natuurlijk al dat je de webinterface vanaf het internet toegankelijk kunt maken. Als die optie er is, gaat een deel van de mensen dat doen omdat het praktisch lijkt.
Die webinterface is er waarschijnlijk meer voor de ISP dan voor de gebruiker.
Webinterface doet KPN voor zo ver ik weet niks mee, ze hebben aan hun kan een andere interface die ze gebruiken. Nou zijn die KPN boxen wel echt ondingen, missen best wel wat functies die je van één beetje router kan verwachten. En ja voor mensen me hier op afkraken ik weet dat je het keuze recht hebt om te kiezen welk modem je aamsluit.
De bug is natuurlijk al dat je de webinterface vanaf het internet toegankelijk kunt maken. Als die optie er is, gaat een deel van de mensen dat doen omdat het praktisch lijkt.
Die webinterface is er waarschijnlijk meer voor de ISP dan voor de gebruiker.
Nee.
ISPs doen modem management via TR-069 .
De web interface (LAN-zijdig) is voor de gebruiker die wat moet instellen.
Dat het (ook) mogelijk is de webinterface extern benaderbaar te maken is voor het kleine aantal gebruikers die daar wat mee wil - mensen die zo'n ding semi zakelijk gebruiken op een paar locaties, voor vrienden/familie beheren etc.
Als je zo iets wilt, zet er dan alsjeblieft een router of ander systeem aan de binnenkant achter wat je met een VPN
kunt bereiken en waar je het beheer "van binnenuit" kunt blijven doen. Een router (dus ook die VPN router die je er
achter zet) van buitenaf benaderbaar maken dat is gewoon vragen om problemen, welk merk het ook is. Die router
fabrikanten smijten maar wat standaardmodules bij elkaar en een fatsoenlijke webserver zit daar niet bij, het is in de
loop der tijd al vele vele keren voorgekomen dat dit soort issues naar buiten kwamen en iedere keer bij andere merken,
meestal ook bij hele kuddes tegelijk omdat ze allemaal dezelfde zut gebruiken.
En nou maar hopen dat de VPN en firewall code niet net zo brak is...
De paar zakelijke gebruikers kunnen beter overstappen op VPN voor dit soort beheer. Mijn Ubee heeft geen mogelijkheid om de webinterface via WAN toegangkelijk te maken, maar ik kan het zo doen via VPN.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.