Lek in KPN Experiabox liet aanvaller modem-instellingen aanpassen

De Experiabox V8 van KPN bevatte een kwetsbaarheid die het voor aanvallers mogelijk maakte om op afstand modeminstellingen aan te passen. Dat kon echter alleen als de gebruiker niet het wachtwoord van de modem gewijzigd had. Het lek in de firmware is inmiddels gedicht.

KPN gaf aan nieuwe glasvezelklanten die de ExperiaBox type V8 ontvingen dezelfde standaard-beheerdersnaam en -wachtwoord. Daarnaast maakte de modem geen gebruik van een csrf-token. "De web-based configuratiemodule van de Experiabox V8 controleert dan niet of een gebruiker bepaalde wijzigingen doorvoert of een andere partij", vertelt Guido Vranken, security engineer bij Intelworks. Hij ontdekte het lek.

Als een gebruiker geen eigen naam en wachtwoord bij de Experiabox V8 had ingevoerd, kon een aanvaller de dns-instellingen, de wifi-beveiliging en andere instellingen in de configuratie van het modem wijzigen, stelt Vranken. Een aanvaller moest dan de gebruiker van de Experiabox verleiden om op een link te klikken. "Dat kan via een eenvoudig html-bestand, via een Javascript Form Submit. Die kun je mailen of ergens op een forum zetten", aldus de beveiligingsexpert.

Onder andere was het in theorie mogelijk een deel van het internetverkeer via een proxy om te leiden en af te tappen. Niet bekend is hoeveel mensen hun wachtwoord ongewijzigd laten bij installatie. KPN adviseerde klanten wel bij installatie het wachtwoord te veranderen. "Maar lang niet iedereen zal dat doen", zegt Vranken. Ook weet Intelworks niet of de csrf-kwetsbaarheid in de praktijk misbruikt is.

Het betrof ExperiaBox-modems type V8 van fabrikant Arcadyan, die KPN aan nieuwe glasvezelklanten leverde. Inmiddels is dat de V9 van ZTE. Intelworks heeft KPN-CERT vorig jaar ingelicht over de kwetsbaarheid en de provider en de modemfabrikant hebben vervolgens een automatische firmware-update uitgerold die het lek bij alle betreffende modems dichtte.

ExperiaBox KPN CSRF

IT-banen

Reacties (42)

stealhtfire 29 januari 2015 17:58

Ik heb paar maanden geleden deze V8 ontvangen nadat ik een omruil aanvroeg voor mijn oude modem. (die een firmware fout had en letterlijk niet kon portforwarden)

Maar het eerst wat ik deed zodra ik hem had is het wachtwoord veranderen, iets wat iedereen al zou moeten doen ongeacht wat voor modem/router je hebt.

Zitten trouwens behoorlijk wat typefouten in de eerste zin.
"ga aan nieuwe glasvezelklantem"
gaat - glasvezelklanten

Falcon93 @stealhtfire • 29 januari 2015 18:03

Vertel dat maar eens aan een casual internet gebruiker, ik denk dat een groot deel van de klanten niet eens weet dat je kunt inloggen op het modem. Ze sluiten hun modem aan en het werkt.

Bliksem B

@stealhtfire • 29 januari 2015 18:17

Maar het eerst wat ik deed zodra ik hem had is het wachtwoord veranderen, iets wat iedereen al zou moeten doen ongeacht wat voor modem/router je hebt.

Er zijn weinig mensen die dat doen en is ook niet nodig, zolang de keys goed gegenereerd worden. Neem de UPC routers, de keys zijn zo ingewikkeld dat een gebruikerswachtwoord nooit beter is. De meeste mensen schrijven ze ook vaak op een blaadje

.

Een probleem onstaat wanneer keys niet goed gegenereerd worden of dat algoritmes openbaar worden door slecht ontworpen software. Zo als bij de Thomson/Speedtouch modems (ook van KPN). Dit algoritme was erg slap en is gekraakt in 2008. Dit probleem is inmiddels nog niet opgelost en werkt ook nog bij modems die anno 2015 nog geleverd worden door KPN, vandaar de populariteit van deWPA lookup tabel.

Ik verbaas me dan weer dat modems van KPN onder vuur liggen. Heel af en toe lees ik wel eens iets over UPC routers, maar KPN is toch de koning.

[Reactie gewijzigd door Bliksem B op 24 juli 2024 16:09]

Rudie_V @Bliksem B • 29 januari 2015 18:56

Er zijn weinig mensen die dat doen en is ook niet nodig..

Zeker wel nodig bij een blank wachtwoord

Douweegbertje @Rudie_V • 29 januari 2015 22:35

Zeker niet nodig, als er gewoon domweg niet remote kan worden ingelogged. Als die setting nou eens default zou uitstaan... of pas aangaat bij het aanpassen van de admin. Je kunt niet steeds de gebruiker de schuld geven voor onlogisch apparatuur.

Raventhorn @Douweegbertje • 29 januari 2015 23:11

Maar dan kunnen ze de 'domme' (of onwetende) klant ook niet meer op afstand helpen met problemen, en ik vraag me af of deze automatische firmware updates niet ook gebruik maken van deze instelling...

Het kan dus wel goed zijn dat het er in zit en aan staat, er moeten alleen inderdaad wel goede wachtwoorden / Keys op zitten...

Rudie_V @Douweegbertje • 30 januari 2015 10:02

KPN heeft remote management voor zichzelf aanstaan zodat ze zelf ook het modem kunnen beheren. Ik hoop/neem aan dat er wel een ip restrictie is!
Daarbij is het wachtwoord voor de thuisgebruiker ook gewoon blank en als je als simpele gebruiker niet op het modem gaat kijken wordt er ook nooit gevraagt om het te veranderen, want het is stekkertjes aansluiten en het werkt. De iets gevorderde gebruiker heeft hier weet van en verandert dit of neust even rond in het modem om wat aanpassingen te maken, maar 90% of meer weet waarschijnlijk niet eens dat je een modem zelf kan managen laat staan dat je een wachtwoord moet veranderen..

ToolBee @Bliksem B • 29 januari 2015 21:19

Even voor de duidelijkheid: bedoel je met "keys" de WPA-keys?

Inloggen in een UPC-modem/router werkt standaard met gebruiker "user" en wachtwoord "user"...

Weinig complex aan dacht ik zo...

Noeandee @Bliksem B • 29 januari 2015 22:17

Als ik het goed begrijp, gaat het hier niet om wifi sleutels.. De Experia box werd met een blanco wachtwoord meegeleverd. Pas als je erop inlogt , moet je een nieuw admin wachtwoord invoeren. De key die jij bedoelt (denk ik), is de WPA-AES key voor de wifi. Maar het gaat hier neem ik aan voor het admin account van de router. Je hebt niet zoveel aan het kraken van een wifi sleutel, voor het wijzigen van wifi, dns, etc. Het gaat hier denk ik om een check op de HTTP header informatie, die mistte, waardoor de aanvaller toegang verkreeg tot je router en daarmee instellingen op de router kon wijzigen.

[Reactie gewijzigd door Noeandee op 24 juli 2024 16:09]

Caritas @stealhtfire • 29 januari 2015 18:56

gaf

Tokkes @stealhtfire • 30 januari 2015 00:23

Vergeet het maar.
Het gros van de mensen denkt dat ze niets kan gebeuren of overkomen. Er vanuit gaan dat een product veilig is, de leverancier het wel goed genoeg beveiligd heeft, en maar aannemen dat alles in orde is en blijft. Niet erbij nadenkende dat dit allemaal gedaan wordt door mensen en deze mensen fouten (kunnen) maken. Alles moet maar vanzelf, gebruiker wil niets zelf doen of zelf uitzoeken. Iedereen met centen kan kopen wat ie wil (of kan) en gaat er dan vanuit dat ze zelf geen verantwoordelijkheid hebben als het fout gaat. Het leven in de huidige maatschappij maakt 'ons' ook lui en in zekere zin 'dom', we hoeven amper nog zelf na te denken.
Zowel overheden als bedrijven maken zich schuldig aan het pamperen van bevolking/klanten, ergens omdat klanten dat verwachten.
Want op wie zijn de klanten nu boos? KPN. Terwijl ze eigenlijk op zichzelf boos moeten zijn. Maar oh nee, zelf kunnen ze niets misdoen.... Zeker als je op een technische support afdeling werkt, wordt dit heel duidelijk.

LopendeVogel @Tokkes • 30 januari 2015 08:20

Ja daag. KPN maakt de fout Door de boel slecht tot niet te beveiligen. Gebruikers kunnen niet overal verstand van hebben dus het moet tot een bepaalde hoogte beveiligd zijn zonder dat de klant er iets voor hoeft te doen. KPN heeft het vergeleken andere providers keer op keer slecht geregeld.
Ik kan me herinneren dat bij me oom en tante die een speedtouch van kpn hadden dat ze het papiertje met het wifi wachtwoord kwijt waren. Binnen 30 sec had ik het wachtwoord. En niet Door op een laptop de sleutel te bekijken maar Door gewoon het wifi naam op een speedtouch hack site in te vullen.

En als KPN dat niet kan of wil dienen ze een duidelijke waarschuwing te geven bij het versturen van een modem met de melding; Let op dit product is onbeveiligd volg de stappen plan om het alsnog te beveiligen. Maar ook dat doen ze niet. Je kan niet altijd de gebruiker de schuld geven.

Als ik een auto koop verwacht ik dat het aan de minimum eisen voldoet. En niet dat ik eerst mijn banden moet verwisselen doordat de standaard banden lek geleverd worden. Zou helemaal mooi zijn.

[Reactie gewijzigd door LopendeVogel op 24 juli 2024 16:09]

Tokkes @LopendeVogel • 30 januari 2015 21:49

Omdat je er vanuit gaat dat er deftige banden onder je wagen zitten. Van een ISP kan je toch niet verwachten dat die je thuis netwerk gaat dichttimmeren? Ze leveren namelijk een dienst, zijnde internet (/telefonie). Geen IT consulting of thuis netwerkbeheer.. Mensen hebben toch ook geleerd hun deur op slot te doen? Gordijnen hangen zodat dieven niet kunnen windowshoppen? Mensen leren ook omgaan met hun vaatwasser, wasmachine, TV. Omdat ze het dagelijks (willen) gebruiken (en heb je de panels van die dingen tegenwoordig al bekeken? Staan soms meer knopjes op dan je moet indrukken om een programma te draaien dan dat er in een spaceshuttle knopjes zijn. Tegenwoordig wil iedereen een computer/tablet en internet en die dingen elke dag gebruiken, maar het is blijkbaar een stap te ver om te verwachten dat ze ook met die dingen leren omgaan?

[Reactie gewijzigd door Tokkes op 24 juli 2024 16:09]

LopendeVogel @Tokkes • 31 januari 2015 07:38

Van alle andere providers kan je verwachten dat de modems degelijk zijn. Waarom kan UPC of Ziggo of Telfort of noem maar een isp het wel maar KPN keer op keer niet?
Jij noemt wel isp in het algemeen maar het is vrijwel alleen kpn die keer op keer steken laat vallen op dit gebied.
Natuurlijk hoor je er enigszins iets vanaf te weten. Maar kan jij je auto van binnen en van buiten? Ik niet, daarvoor is de dealer of garage en ik ga er van uit dat ze een degelijk product aan mij geven.

aadje93 @stealhtfire • 30 januari 2015 07:23

als je het ip van het modem bezoekt is het eerste wat je moet doen toch al het wachtwoord instellen, standaard zit er namelijk geen wachtwoord op

Gertjuhjan 29 januari 2015 17:51

Dan is nu de vraag, is de firmwareupdate automatisch uitgerold?

Want anders ik het bij 99% van de klanten nog steeds niet geinstalleerd.

Mmore @Gertjuhjan • 29 januari 2015 18:02

Intelworks heeft KPN-CERT vorig jaar ingelicht over de kwetsbaarheid en de provider en de modemfabrikant hebben vervolgens een automatische firmware-update uitgerold die het lek bij alle betreffende modems dichtte.

SED @Mmore • 29 januari 2015 21:02

Er spoken heel wat ex kpn modems rond die niet meer aan het KPN netwerk hangen.

Die zijn allemaal ongepatched en er is nergens een patch verkrijgbaar.

Mmore @SED • 29 januari 2015 21:26

Wat doet een ex-KPN modem in Godsnaam op een niet KPN-netwerk? Dat ding stuur je toch gewoon terug als je naar een andere provider gaat

Kan er verder niets mee.

SED @Mmore • 29 januari 2015 21:42

Gezien de returnrate spoken er nogal wat rond waar je wel degelijk wat mee kunt. Los van gebruik als switch zijn er ook diverse hacks mogelijk. Zoek maar even op google.

Mmore @SED • 29 januari 2015 22:15

Maar je kan moeilijker de vinger naar KPN danwel de fabrikant wijzen hiervoor?

SED @Mmore • 30 januari 2015 12:30

Een patch op security gebied zou altijd vrij beschikbaar moeten zijn.

ToolBee @Mmore • 29 januari 2015 22:58

Ik vindt het ook verassend hoeveel van die dingen er te koop staan op de bekende plaatsen! En UPC/Tele2/etc modems/routers...

aadje93 @Mmore • 30 januari 2015 07:24

Het is gewoon een modem wat je instellen met account/pass + locatie om aan te melden, via wat google werk kom je ook zo tegen hoe je hem op ppoe passthrough kunt zetten zodat je met eigen router/firewall (pfsense...) je netwerk beveiliging met grote stappen kunt verbeteren.

CodeAsm @Mmore • 30 januari 2015 09:01

In onze hspace liggen er nog een stuk of 10. Kheb er 3 thuis ligge van vriende en tja, al die hacks zijn leuk maar ik twijfel een beetje over de betrouwbaarheid van de stock firmware, liever openwrt. Moet dat er wel op wile als je een v8 hte h3?? Nog iets heb.

Ik hang er wel een openwrt aan binnekort. Die kpn modems kan je ook in tweedehands winkels vinden

Blerp @Gertjuhjan • 29 januari 2015 18:05

Firmware-updates worden automatisch gepusht en zijn niet tegen te houden. Bij een harde reset van het modem wordt sowieso een update-check geforceerd.

Dorus12 @Gertjuhjan • 29 januari 2015 19:08

Dat is een hele goede vraag!
Ik heb zelf ook zo'n box en de software is van augustus vorig jaar.
Dus als het topic bericht nog courant is dan moet er snel nog een update volgen.
Het zal overigens tijd worden ook want er is nog veel meer mis met de betreffende software.
Zo levert het modem al meer dan een jaar 10% bandbreedte minder (up & down) dan de abonnementsvorm.
Dit is een bekende bug maar de oplossing laat al meerdere updates op zich wachten.

ps. ik heb uiteraard het paswoord allang aangepast zoals het hoort.

Wat vreemd dat mij post wordt gezien als offtopic / irrelevant.
Het nieuwsbericht uit dit topic is of heel oud of heel nieuw.
Ik ben een normale gebruiker van het v8 modem en de gepushte software is van augustus 2014.
Indien het een nieuwe bug is die is gevonden dan wordt het wel degelijk tijd dat deze opgelost gaat worden.
Of wordt dit nieuwsbericht opnieuw gebracht en is het eigenlijk oud nieuws.
Daarnaast zijn er meer zaken niet goed in de v8 software zoals ik al beschreven heb.
Wel degelijk ontopic!

[Reactie gewijzigd door Dorus12 op 24 juli 2024 16:09]

Aaargh! 29 januari 2015 18:01

En dit is waarom ISP's geen routers mee horen te leveren. Een monocultuur van identieke routers met identieke beveiligingsproblemen in een voorspelbare IP range is vragen om problemen.

fransb3 29 januari 2015 18:21

Als dat het enige probleem zou zijn.....
Ik kreeg vorige maand een mailtje van mijn internet-aanbieder - die gelijk maar de verbinding had geblokkeerd:

"Geachte heer/mevrouw,
Naar aanleiding van meldingen door derden zijn wij tot de conclusie gekomen dat er vanaf uw IP-adres netbios-name-resolution verzoeken worden verzonden naar derden.
Doordat Netbios een UDP dienst betreft, kan men uw aansluiting misbruiken, om derden aan te vallen via een DoS aanval.
De Netbios verzoeken worden veroorzaakt doordat u een apparaat in DMZ (of de 'default server' optie) heeft staan welke Netbios diensten aanbiedt, u een portforward heeft gemaakt via UDP poort 137 naar een apparaat dat Netbios diensten aanbiedt, of u gebruikt een eigen modem welke Netbios diensten aanbiedt.
In het geval van de DMZ (default server) of de portforward optie, verzoeken wij u deze ongedaan te maken. U kunt dit instellen in het Telfort modem.
Indien u niet (goed) weet hoe u dit dient te doen, kunt u ook het Telfort modem resetten, door de resetknop voor ca. 15 seconden ingedrukt te houden. Hierdoor worden de standaardwaarnden hersteld en zal bovenstaande zijn verholpen.
Indien u eigen apparatuur gebruikt, verzoeken wij u de door Telfort geleverde apparatuur aan te sluiten, of de apparatuur zodanig in te stellen, zodat bovenstaande niet meer mogelijk is.
Gaarne vernemen wij van u uw bevindingen."

Na wat heen en weer gebel en gemail, bleek de oorzaak te zijn, dat ik de USB-functionaliteit die het modem biedt, ingeschakeld had staan - je kunt een USB-stick en USB-printer in het modem prikken zodat beiden bereikbaar zijn vanaf elk aangesloten apparaat.
Dat was dus niet de bedoeling: uitschakelen en probleem was weg. Blijkbaar zitten er meer gaatjes in dit modem.... Wat speurend op internet blijken meerdere gebruikers exact dezelfde mail/blokkering/beschuldiging ontvangen te hebben. Fijn toch.

DLGandalf 29 januari 2015 20:52

Waar kunnen we de exploit vinden zoals ook te zien in het screenshot? Ik wil wel zeker weten dat mijn modem gedicht is.

basvd @DLGandalf • 30 januari 2015 14:05

http://jsfiddle.net/0hwgy0y2/ (eenvoudig aan te passen naar je eigen modem)

Laatst al een blogje geschreven over het risico van default passwords:
http://www.basvandorst.nl...t-passwords-on-isp-modems

Overigens zijn de Ziggo modems (momenteel) ook nog zo lek als een mandje... Nieuw artikeltje

DLGandalf @basvd • 1 februari 2015 15:19

Kan je eventueel toelichten hoe de jsfiddle gebruikt dient te worden, of bedoelde je dit gewoon als een generiek voorbeeld? Iig, Ik bedoelde een exploit te willen die specifiek voor de arcadyan zou werken.

Toet3r 29 januari 2015 18:41

Als een gebruiker geen eigen naam en wachtwoord bij de Experiabox V8 had ingevoerd, kon een aanvaller de dns-instellingen, de wifi-beveiliging en andere instellingen in de configuratie van het modem wijzigen

Zover mij bekend is zijn de instelmogelijkheden door de gebruiker op v8 modems beperkt.
Ik heb zelf een v8 modem maar daar nooit geen dns instellingen op kunnen vinden.

DLGandalf @Toet3r • 29 januari 2015 20:46

heel veel pagina's zijn niet op tevragen via de hoofdpagina, maar zijn gewoon te bereiken door de volledige URL in te vullen, een voorbeeld:

http://192.168.2.254/atmint.stm/3/1

Hiermee kan je de router als modem laten fungeren, waardoor dus een ander apparaat middels PPPoE kan "inbellen"
Dit is slechts 1 voorbeeld van functionaliteit die je normaliter niet zou kunnen bereiken, maar er wel degelijk in zit.

Toet3r @DLGandalf • 29 januari 2015 21:29

Dat is handig.
Hedde gij ook een overzicht van welke van dit soort pagina's er nog meer zijn?

aadje93 @Toet3r • 30 januari 2015 07:25

Zoek even op google, het is gevonden middels firebug (firefox addon) maar daar ben ik zelf niet bekend mee

Falcon93 29 januari 2015 17:50

Sowieso zijn die experiaboxen één grote ramp, heb ook KPN Glasvezel maar heb d.m.v. een managed switch mijn eigen router met DD-WRT kunnen gebruiken

MegaTronics @Falcon93 • 29 januari 2015 18:15

Via OpenWRT kun je ook zelf in je router de VLAN scheiding doen, ik verwacht dat het met DD-WRT ook mogelijk moet zijn. op die manier spaar je weer de energiekosten van een losse switch.

Falcon93 @MegaTronics • 29 januari 2015 18:31

Dat klopt, maar aangezien alle LAN poorten al in gebruik waren kan telefonie en iptv er niet meer bij.

MegaTronics @Falcon93 • 29 januari 2015 18:33

Tja dan houd het op, of je moet er een switch achter zetten.

Oh wacht, dan is de hele besparing weer weg.

DLGandalf @MegaTronics • 29 januari 2015 20:50

Ik hergebruik de Experia maar laat het routeren gebeuren dmv een laptop met openwrt die toch al 24/7 draait, dit alles zonder dubbel NAT'ing. De experiabox is nl in te stellen alszijnde een modem, waardoor mijn laptop via PPPoE een publiekelijk IP krijgt. Interactieve TV blijft gewoon werken.

Shameless adverteren van eigen blog:
http://blog.upperpaste.com/?q=node/2

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (42)

Sorteer op:

Weergave: