broadcom modems cablehaunt exploit - Privacy en beveiliging

zaterdag 11 januari 2020 12:48

Acties:

0 Henk 'm!

Topicstarter

Eigenlijk kan dit topic ook in de "netwerken" en "internetproviders" fora, maar dit leek mij de beste plek.

Het gaat om: https://cablehaunt.com/

Blijkbaar zit er een beveiligingsgat in compal en technicolor modems (zoals gebruikt door Ziggo).
Zelf heb ik een oude Ubee en zal die later ook checken (maar staat in bridge).

Verder heb ik geen idee hoeveel impact het zal hebben op de simpele thuisgebruiker die natuurlijk geen goede beveiliging heeft.

Als iemand al meer weet en/of kabel ISP's het reeds opgelost hebben, dan hoor ik het graag.

ga zelf ook onderzoeken zodra ik tijd heb.

[ Voor 3% gewijzigd door DJMaze op 11-01-2020 12:49 ]

Maak je niet druk, dat doet de compressor maar

dinsdag 28 januari 2020 14:54

Acties:

0 Henk 'm!

valkenier

@DJMaze Het is is hier heel stil gebleven, maar inmiddels staat de Cisco EPC3928 op de lijst. De TC7210 in bridge is bij mij niet kwetsbaar, maar in routermode lijkt dat anders te zijn. Ziggo zwijgt vooralsnog. Maar ik denk dat het muisje nog een staartje krijgt.

dinsdag 28 januari 2020 15:26

Acties:

0 Henk 'm!

DJMaze

Topicstarter

@valkenier Ja ik vind het ook vreemd terwijl het zelfs al is vermeld in het nieuws
nieuws: Onderzoekers: kwetsbaarheid in kabelmodems treft vele miljoenen exemp...

Mijn Ubee is blijkbaar ook veilig want ik kom er niet in.

Maak je niet druk, dat doet de compressor maar

dinsdag 28 januari 2020 17:49

Acties:

0 Henk 'm!

valkenier

Er loopt ook een topic op de ziggo community, met nog weinig respons van de modem gebruikers.
https://community.ziggo.n...unt-beveiligingslek-51274

Ziggo zegt “we hebben het in onderzoek”. Dat hoeft natuurlijk geen weken te duren met dat kant en klare script. Ik ben toch benieuwd wat er nog achter vandaan komt.

dinsdag 28 januari 2020 17:58

Acties:

0 Henk 'm!

SMSfreakie

bij Ziggo duurt alles weken....

en verder is die test tool toch gewoon een veredelde poortscanner op alle poorten van je modem

[ Voor 61% gewijzigd door SMSfreakie op 28-01-2020 18:06 ]

404 Signature not found

dinsdag 28 januari 2020 20:06

Acties:

0 Henk 'm!

valkenier

SMSfreakie schreef op dinsdag 28 januari 2020 @ 17:58:
bij Ziggo duurt alles weken....

en verder is die test tool toch gewoon een veredelde poortscanner op alle poorten van je modem

Nou, wel iets meer dan dat. Het scant eerst de poorten, en indien aanwezig probeert het of de vulnerability er is. Het is niet de volledige exploit, maar dat hoeft ook niet.

dinsdag 28 januari 2020 20:32

Acties:

0 Henk 'm!

Verwijderd

valkenier schreef op dinsdag 28 januari 2020 @ 20:06:
Nou, wel iets meer dan dat. Het scant eerst de poorten, en indien aanwezig probeert het of de vulnerability er is. Het is niet de volledige exploit, maar dat hoeft ook niet.

Maar zonder open poort kan er ook geen exploit plaatsvinden lijkt mij. Of zie ik iets over hoofd hier?

Als open poorten niet zelf zijn uit te zetten, kun je in een firewall direct achter een router/modem al het poortverkeer naar de router blokkeren. Mocht je de webGUI nodig hebben, dan gooi je een schone laptop of VM met kabel direct aan de router.

Dit is ook wat op de website als mitigatie wordt beschreven:

If your modem is running behind a separate router/gateway, you might be safe by configuring a firewall restriction on the Spectrum Analyzer. In any case, it is a decent mitigation strategy, while waiting for your ISP to roll out deployments.

NB: dat zou ik doen voor alle open poorten op routers die je niet volledig zelf kan beheren, dus ook voor routers die niks met deze exploit te maken hebben. Tenzij die poort een specifiek doel dient uiteraard.

DJMaze schreef op zaterdag 11 januari 2020 @ 12:48:
maar staat in bridge

Volgens die pagina is bridge mode geen garantie.

It is hard to say across all models, if the vulnerable endpoint is available when operating in bridge mode. We have however received several reports from individual users across the world, where the modem was still vulnerable even in bridge mode, so this is definitely not a security guarantee.

dinsdag 28 januari 2020 20:38

Acties:

0 Henk 'm!

SMSfreakie

nou krijg ik de exploit tool zo snel niet aan de gang.. maar met nmap krijg ik alleen een response op poort 80

404 Signature not found

dinsdag 28 januari 2020 21:23

Acties:

0 Henk 'm!

valkenier

Verwijderd schreef op dinsdag 28 januari 2020 @ 20:32:
[...]

Maar zonder open poort kan er ook geen exploit plaatsvinden lijkt mij. Of zie ik iets over hoofd hier?

Nee tuurlijk niet, maar TC7210s in router mode schijnen poort 8080 met de spectrumanalyzer wel open te hebben. In bridge kon ik hem niet ontdekken, en ben ik denk ik veilig.

Als open poorten niet zelf zijn uit te zetten, kun je in een firewall direct achter een router/modem al het poortverkeer naar de router blokkeren. Mocht je de webGUI nodig hebben, dan gooi je een schone laptop of VM met kabel direct aan de router.

Dit is ook wat op de website als mitigatie wordt beschreven:

NB: dat zou ik doen voor alle open poorten op routers die je niet volledig zelf kan beheren, dus ook voor routers die niks met deze exploit te maken hebben. Tenzij die poort een specifiek doel dient uiteraard.

Nee je kunt zelf geen poorten sluiten op een Ziggo modem. Met een eigen router erachter kun je de toegang tot die poorten inderdaad blokkeren, maar de gemiddelde consument heeft geen eigen router.

Volgens die pagina is bridge mode geen garantie.

Bij mijn gebridgde TC7210 zijn de poorten en kwetsbaarheid niet beschikbaar. Dus ik waan mijzelf veilig. Ben wel benieuwd of iemand een niet gebridgde TC7210 kan testen.

SMSfreakie schreef op dinsdag 28 januari 2020 @ 20:38:
nou krijg ik de exploit tool zo snel niet aan de gang.. maar met nmap krijg ik alleen een response op poort 80

@SMSfreakie Waar loop je vast? Welk modem?
Dat je met nmap alleen 80 terugkrijgt is positief.

[ Voor 10% gewijzigd door valkenier op 28-01-2020 21:25 ]