Authenticatie in KPN ExperiaBox kon worden omzeild door kwetsbaarheid

Onderzoekers hebben een kwetsbaarheid ontdekt in modems en routers die gebruikmaken van software van Arcadyan, waaronder in twee modems van KPN. Daardoor was het mogelijk om authenticatie te omzeilen en aanpassingen te doen aan de netwerkinstellingen.

Onderzoekers van beveiligingsbedrijf Tenable ontdekten een path traversal-kwetsbaarheid in de web-interface van verschillende netwerkapparaten die gemaakt zijn door Arcadyan, die ook door KPN wordt gebruikt. In het geval van KPN gaat het om de ExperiaBox V10A, met firmwareversie 5.00.48 en de VGV7519 met firmwareversie 3.01.116. Met een path traversal-bug is het mogelijk bestanden en mappen te bekijken waar een gebruiker geen toegang toe hoort te hebben.

Door de kwetsbaarheid in de firmware kunnen aanvallers op afstand de authenticatie van de webinterface omzeilen, toegang krijgen tot gevoelige informatie zoals valid request tokens, en zo aanpassingen doen aan de netwerkinstellingen van de router. De kwetsbaarheid is geregistreerd als CVE-2021-20090. Tenable geeft verder geen details hoe de kwetsbaarheid misbruikt kan worden.

In eerste instantie dachten de onderzoekers dat het ging om een kwetsbaarheid in een specifieke modem, maar al snel bleek het probleem in de firmware te zitten, die gebruikt wordt in verschillende modems en routers. Het gaat onder meer om modems en routers van O2, Verizon en Vodafone. De onderzoekers ontdekten de kwetsbaarheid in januari van dit jaar, en hebben de verschillende fabrikanten en isp's ervan op de hoogte gebracht.

CERT/CC raadt mensen met deze modems aan zo snel mogelijk de nieuwste firmware te installeren op hun modem of router en daarnaast remote WAN-side admin-diensten uit te schakelen en om de web interface uit te schakelen op de WAN. Privacynieuws zegt dat het nog niet bekend is of KPN een firmwareupdate tegen de kwetsbaarheid uitgebracht heeft die gebruikers kunnen installeren. KPN maakt sinds 2018 gebruik van de ExperiaBox V10A.

KPN Arcadyan Experiabox V10a

Reacties (95)

ocwil 21 juli 2021 17:10

Maar als je WAN-side admin uit hebt staan, is er nog geen probleem toch?

the_stickie @ocwil • 21 juli 2021 18:14

Klopt. Alleen hebben veel router-modems geleverd door isp’s die functie net ingeschakeld zodat de isp alle instellingen kan beheren.

sympa @the_stickie • 21 juli 2021 18:19

ISPs beheren je modem niet remote via de webinterface hoor. Maar via een beheerprotocol, meestal CWMP / TR-069.

the_stickie @sympa • 21 juli 2021 18:23

Klopt, maar zover ik weet is dat ook net wat die "WAN side admin services" zijn...

Houtenklaas

@the_stickie • 21 juli 2021 19:04

TR-069 is echt wat anders dan een config website remote benaderen. TR-069 wijst vanuit de router naar een zogenaamde ACS, een Auto Configuratie Server waar je router zijn (standaard) configuratie vandaan kan halen.

De CVE spreekt over "Path traversel" wat betekent dat je naar een andere directory kan springen zonder daar de authorisatie voor te hebben. Maar dan moet je wel überhaupt bij de configuratie website komen van je router. En standaard staat dat bij KPN uit en kan je volgens mij dat zelf niet eens "aan" zetten op de hele Experia range.

ANdrode

@Houtenklaas • 21 juli 2021 19:50

En wat explicieter: TR-069 pullt de configuratie. Geen publieke poort voor nodig met die configuratie.

Pmf1971 @ANdrode • 22 juli 2021 09:54

Pull werkt door NAT heen, Push werkt niet zonder een correcte port forwarding te configureren in de ontvangende router.

ANdrode

@Pmf1971 • 22 juli 2021 14:14

Ook dat. Dat helpt bijvoorbeeld bij sommige IPTV boxen die ook via TR-069 gemanaged worden

True @sympa • 21 juli 2021 20:50

Zou je denken ja

Toen ik nog voor een niet nader te noemen ISP werkte een jaar of 5 terug werd via een ssh script een portfoward gemaakt zodat ze gemakkelijk modems konden afstellen voor onbekwame klanten. Werd dikwijls vergeten om dit weer op te heffen.

Pmf1971 @True • 22 juli 2021 10:00

Wat ik niet snap is dat ze wel VLANs op de carrier gebruiken voor tv en telefoon, maar niet voor remote modem/router beheer.

Zie ik een vulnerability over het hoofd?

[Reactie gewijzigd door Pmf1971 op 22 juli 2024 15:56]

Jerie

@True • 22 juli 2021 15:04

The CPE WAN Management Protocol is a bidirectional SOAP- and HTTP-based protocol, and provides the communication between a CPE and auto configuration servers (ACS)

Het is maar wat je 'geen webinterface' noemt @sympa.

https://en.wikipedia.org/wiki/TR-069

Authentication of the CPE is more problematic. The identity of the device is verified based on a shared secret (password) at the HTTP level. Passwords may be negotiated between the parties (CPE-ACS) at every provisioning session. When the device contacts the ACS for the first time (or after a factory-reset) default passwords are used. In large networks it is the responsibility of the procurement to ensure each device is using unique credentials, their list is delivered with the devices themselves and secured

Er zijn mensen die een MITM op hun kabelmodem hebben uit kunnen voeren, en op die manier bijvoorbeeld en upload en download snelheid aan kunnen passen. Na zo'n factory reset zou je wel degelijk een MITM uit kunnen voeren. Ik heb dit zelf niet geverifieerd maar weet wel dat hier bij Chaos Computer Club Congress van ik meen 1,5 jaar geleden nog een talk over is geweest (met 1 snelle zoekopdracht vond ik eerste hit al deze uit 2015). Vroeger kon je toen zelfs je down- en upload snelheid aanpassen. Kan wel zijn dat je hierbij wat flashgeheugen uit moet lezen.

[Reactie gewijzigd door Jerie op 22 juli 2024 15:56]

AJediIAm @the_stickie • 21 juli 2021 18:38

Bij mij staat het uit en dit was ook de default.

Olaf van der Spek @ocwil • 21 juli 2021 20:42

is er nog geen probleem toch?

Want?
Elke app op elk LAN device heeft dan meer toegang dan het zou moeten hebben. Je bent ook afhankelijk van beveiliging van browsers / clients, anders kunnen websites wellicht ook een request sturen naar 192.168.1.1..

wjb4tweakers @Olaf van der Spek • 23 juli 2021 00:26

Maar heb jij de Experia Box dan ook achter slot en grendel staan want na een reset staat de admin login weer wagenwijd open d.m.v. de login gegevens op de sticker of zoals bijvoorbeeld op de ZTE's door gewoon in te loggen zonder een wachtwoord in te geven.

biteMark @ocwil • 21 juli 2021 17:36

Staat in de laatste paragraaf van het artikel

rain2reign 21 juli 2021 17:09

op https://www.technadu.com/...enticated-attacks/290716/ staat een klein lijst van kwetsbare modems. Die toen gevonden waren, waarvan oa Asus.

[Reactie gewijzigd door rain2reign op 22 juli 2024 15:56]

biteMark 21 juli 2021 17:41

Des te meer reden om van die door de ISP-geleverde zooi af te stappen.

Bozebeer38 @biteMark • 21 juli 2021 17:47

Vaak is dat lastiger dan je denkt.

DutchBee @Bozebeer38 • 21 juli 2021 18:01

Bij KPN niet.

Kun je gewoon je gegevens opvragen en invullen op je router.

Als je een fritzbox hebt is het nog makkelijker. Die vraagt welke provider je hebt en vult het zelf in.

Pmf1971 @DutchBee • 22 juli 2021 10:11

Bij KPN glas heb je nu volledige vrijheid qua router. Vorig jaar ben ik overgestapt hiernaar(1000/1000).

Ik heb de Zyxel router er vrijwel meteen afgehaald en vervangen door een Raspberry Pi 4B met Openwrt en een layer 2 managed switch.

Werkt als een tierelier en zoals gezegd, wordt expliciet TOEGESTAAN door KPN. verrassend maar waar.

Overigens zijn die wifi APs van KPN een beetje waardeloos. Bereik is OK, maar je kan maar 1 SSID instellen (niet eens een gast netwerk). Ik heb ze gelijk teruggestuurd. Beetje AP moet wel VLANs ondersteunen wat mij betreft.

[Reactie gewijzigd door Pmf1971 op 22 juli 2024 15:56]

wjb4tweakers @Pmf1971 • 23 juli 2021 00:19

Waarom verrassend?

Pmf1971 @wjb4tweakers • 28 juli 2021 12:18

Omdat KPN anders nooit zo flexibel is. Tenminste, zo heb ik ze nog nooit meegemaakt.
Ik heb ze ook gebeld met wat (Technische) vragen over het aansluiten van eigen router en daar gaven ze ook graag antwoord op. Dus ja, best verrassend voor mij.

[Reactie gewijzigd door Pmf1971 op 22 juli 2024 15:56]

wjb4tweakers @Pmf1971 • 29 juli 2021 09:01

Ik ben de tweede helft van 2019 als klant betrokken geweest bij het project vrije modemkeuze binnen KPN wat geleid heeft tot de introductie van die vrije keuze in maart 2020. Het verrast mij dan ook geenszins, het was een logische stap bij de integratie van het merk XS4ALL met KPN , wetende dat die vrije keuze vroeg of laat toch mogelijk gemaakt moest gaan worden.

Pmf1971 @wjb4tweakers • 4 augustus 2021 02:04

Ik had al het vermoeden dat een deel van de diensten die XS4All bood, opgenomen zouden worden in het KPN beleid. Zonde om die kennis en ervaring verloren te laten gaan.

Laten we hopen dat KPN hierdoor echt beter wordt voor de klant.

sfc1971 @Bozebeer38 • 21 juli 2021 20:08

Bij Tweak hebben ze zelfs een abbo zonder router in het pakket, dus zo lastig is het niet.

PageFault @sfc1971 • 21 juli 2021 20:11

Hier ook, gewoon je eigen apparatuur regelen

Jerie

@Bozebeer38 • 22 juli 2021 15:10

Bij Freedom Internet kan het, scheelt je dan 2 EUR per maand. Ofwel 24 EUR per jaar. Ofwel 48 EUR per 2 jaar. Ofwel 96 EUR per 4 jaar. You get the point. En het punt is, na 4 jaar is zo'n ding echt wel afgeschreven, en een goede router (met WLAN AP en de hele mikmak) krijg je niet voor 96 EUR. Een Fritz!box is duurder dan dat. Dat houdt in dat het qua prijs niet is weggelegd voor arme sloebers. Het is een investering, eentje die een techneut het misschien waard vind maar het gemiddelde huishouden niet.

beerse @Jerie • 23 juli 2021 20:08

Sterker, je kan er ook voor kiezen om via freedom.nl het zelfde fritzbox modem te kopen wat je anders zou huren. Volgens https://freedom.nl/diensten/freedom-modems voor de prijs van €150,-. Detail is dan wel dat het je eigen modem is, dus moet je zelf om garantie en om vervanging als er wat aan de hand is.

Aan de andere kant: Je krijgt alle gegevens om het toestel netjes aan te sluiten en in te richten, ook als je voor de gratis/gehuurde versie gaat. net zoals het ooit bij xs4all was, wat volgens mij de hoofd-reden is waarom het bij kpn nu wat vrijer is dan een paar jaar geleden. (sorry voor het xs4all-kpn-gezeik, ik kon het niet laten...)

TrekVogel @Bozebeer38 • 22 juli 2021 10:37

Bij glas kun je vaak het "modem" er gewoon tussenuit slopen.

Pmf1971 @TrekVogel • 4 augustus 2021 02:11

Niet helemaal, je zal wel wat VLANs moeten configureren in je eigen router om gebruik te maken van de diensten.

Als je bedoelt dat je je computer direct aansluit op de media converter: NIET DOEN! het werkt maar dan is je pc ook echt direct aangesloten, een onveilige situatie, zelfs met firewall geinstalleerd.

AJediIAm @biteMark • 21 juli 2021 18:37

In alle eerlijkheid is het spul van KPN best OK. Voor 95% van de consument is het prima en voor de overige 5% maken ze het mogelijk om een eigen apparaat te gebruiken.
Weinig providers die daar aan kunnen tippen.

Memori @AJediIAm • 21 juli 2021 19:57

Alleen jammer dat ze bridged IPTV eruit hebben gegooid, welgeteld 4 maanden na mijn investering in de apparatuur daarvoor. Waarom vraag je je af? Nou, het is wel zo fijn om je internet/router te kunnen resetten zonder dat de TV kijkers daar last van hebben.

FatalError @Memori • 21 juli 2021 20:57

Daarvoor heb ik een managed switch ertussen. Verder een aparte router voor IPTV (Mikrotik RB750Gr3) als voor internet.

Memori @FatalError • 21 juli 2021 21:03

Maar dan zit je wel weer met drie devices in plaats van twee (of zelfs één) die 24/7 aan staan.

Z100 @Memori • 22 juli 2021 00:24

Je kan het zelfs reduceren tot één fysiek apparaat, en toch vrijwel naadloos je router rebooten, via Pfsense en twee virtuele routers op het apparaat: https://vorkbaard.nl/how-...lity-hardware-redundancy/

Er is 1 of 2 seconden downtime, maar decoders voor TV gebruikers hebben waarschijnlijk een buffer waardoor dat geen probleem zou moeten zijn.

Als je dat niet zou willen dan is idd de enige oplossing om een switch en apart routertje te kopen die beiden in hetzelfde idle wattage vallen als de Experia box (~5W), wat overigens mogelijk is.

[Reactie gewijzigd door Z100 op 22 juli 2024 15:56]

Pmf1971 @Memori • 22 juli 2021 10:31

Moet je dan zo vaak de router resetten?

Ik gebruik een RPi 4B met OpenWRT als router en ik hoef hem letterlijk maar eens per 6 maanden te rebooten, en dat is dan alleen maar omdat ik een configuratie aangepast heb die een reboot vereist.. Een paar seconden geen tv is dan niet echt een probleem, en bovendien reboot OpenWRT in ongeveer 15 seconden.

Memori @Pmf1971 • 22 juli 2021 13:00

Niet heel erg vaak, maar het komt altijd op het verkeerde moment helaas...

Cardo @AJediIAm • 22 juli 2021 11:52

Ja laatste WiFi 6 Router is top. Eerder moest en zou ik er een alternatief tussen hebben, maar bij de laatste opstelling heb ik het gelaten voor wat het was.

Frame164 @biteMark • 21 juli 2021 17:48

In andere apparatuur zitten natuurlijk nooit fouten....

orvintax @Frame164 • 21 juli 2021 19:02

Tuurlijk wel, maar over het algemeen zijn grote netwerkboeren zoals Cisco, Juniper en MikroTik meer te vertrouwen dan het whitelabel verhaal van KPN.

Pmf1971 @orvintax • 22 juli 2021 10:34

Vergeet die relatief nieuwe speler op de markt, Ubiquiti (UBNT) niet.

Fantastisch spul en zeer betaalbaar.

orvintax @Pmf1971 • 22 juli 2021 13:42

Ik heb Ubiquiti expres niet genoemd. Ik heb geen grijntje vertrouwen meer in dat bedrijf. Hun controller software heeft de laatste maanden nogal de mentaliteit gekregen van form over function. Ze leveren onstabiele firmware in de "stable" branch en gaan dubieus om met hun datalek. Al met al redenen waarom ik dat spul nergens meer deploy. Ik kan ze simpelweg niet meer vertrouwen, jammer want ik was er eerst erg enthousiast over. Ik ben blij dat ik hier trouwens niet als enigste over denk, heel hun fora staat hier ook mee vol.

wjb4tweakers @orvintax • 23 juli 2021 00:05

Vanuit security aspect is het bij mij een eis dat routers niet vanuit een cloud omgeving beheerd kunnen worden. Ik gebruik dan ook de EdgeRouter en geen apparaten uit de Unifi lijn.
Ik ben het ook volledig met je eens dat de controller software steeds meer form over function trekjes gaat krijgen. Helaas zien we dat tegenwoordig op zeer veel plekken gebeuren. Het maakt niet uit of het kan doen wat nodig is, als het er maar gelikt uitziet want op basis van die buitenkant koopt men en daar draait tegenwoordig alles om.

Pmf1971 @orvintax • 28 juli 2021 12:27

Dank je voor deze info, want ik ben van plan om Ubnt serieus te gaan inzetten bij klanten. Eerst maar eens diep graven voor dit en bepalen wat precies de gevaren zijn.

biteMark @orvintax • 22 juli 2021 11:07

Precies dit, en corporates een béétje kennende leveren ze specifiek díé router omdat de prijs/prestatieverhouding erg gunstig is en is prijs/kwaliteit ondergeschikt daaraan. Dat houdt dan wel weer in dat de kans op kwalitatief mindere producten groter is.

BeosBeing @orvintax • 23 juli 2021 12:47

Tuurlijk wel, maar over het algemeen zijn grote netwerkboeren zoals Cisco, Juniper en MikroTik meer te vertrouwen dan het whitelabel verhaal van KPN.

Juniper, en Cisco zou ik ook niet zomaar meer vertrouwen na de vele NSA-backdoors de laatste jaren.

orvintax @BeosBeing • 23 juli 2021 13:43

Volledig mee eens, maar daar ging het hier niet over.

Tortelli

21 juli 2021 17:01

Kon je op die manier ook je LAN ip range aanpassen? want dat zou wel een handige feature zijn

(V12 hier, echter gebruik ik een USG nu @ glasvezel)

Rouwette @Tortelli • 21 juli 2021 17:03

Misschien kon je je snelheid aanpassen

Bloodhoundje @Rouwette • 21 juli 2021 17:06

Snelheidsprofielen worden jammer genoeg niet bepaald vanuit jouw modem. Maar vanuit de Lijnkaart op de DSLAM. Hierop laad men een specifiek profiel in met o.a. de snelheid die de kaart mag leveren aan jouw adres. Jouw modem leest dit profiel uit en probeert daarna deze snelheid te behalen en zo nodig zich omlaag bij te stellen in snelheid bij een slecht of zwak signaal

Rouwette @Bloodhoundje • 21 juli 2021 17:08

Ah ja, dat klinkt ook best logisch

batjes @Bloodhoundje • 21 juli 2021 17:49

Bij UPC was dit vroeger wel mogelijk 😋

Tortelli

@Rouwette • 21 juli 2021 17:43

Heeft geen zin want ik heb al 1Gbit up/down

Nyana @Tortelli • 22 juli 2021 15:35

Hier nog steeds 500 up. Zou 18 juli gigabit worden.

Arhan @Tortelli • 21 juli 2021 22:03

oh, doe eens speedtest... ben benieuwd wat voor snelheden deze laat zien..

Tortelli

@Arhan • 21 juli 2021 22:05

https://gathering.tweakers.net/forum/view_message/68082334
Gewoon Gbit snelheden. Haal een ~113MB/s op down en uploads.

Pmf1971 @Tortelli • 28 juli 2021 12:31

Onlangs 500/500 naar 1000/500 upgrade gedaan voor 90 cent verschil (!) bij KPN.

Speedtest gaf ruwweg jouw cijfers aan voor de up en downstream, dus blijkbaar is het een 1000/1000 lijn geworden, iets wat ze op dat moment nog niet op de site hadden staan.

Mr. Freeze @Tortelli • 21 juli 2021 17:04

Op de v10 kon je dat sowieso al, de v12 is bij mij nooit uit de doos geweest, dus bij die weet ik het niet.

PCeend 21 juli 2021 17:27

De Arcadyan VGV7519 is ook bekend als de Experiabox-V8 en die wordt volgens mij nog door veel voormalig Telfort-internetters gebruikt.

Chillosophy @PCeend • 21 juli 2021 18:03

Klopt, VGV7519 is de V8, VRV9517 is de V10a. Het is me daarom niet duidelijk op welke dit artikel doelt.
-edit- verkeerd gelezen. Gaat om beide.

[Reactie gewijzigd door Chillosophy op 22 juli 2024 15:56]

Verbruggen 21 juli 2021 17:20

Ze staan er ook bepaald niet om bekend dat ze modems met goed afgewerkte software/firmware leveren. Heb in het verleden problemen gehad met vlans die niet goed geconfigureerd werden, port-forwarding die niet goed werkte en DDNS die niet kan verbinden. Bij mijn huidige V12 kan ik zelfs alleen de software in als ik forceer een onbeveiligde verbinding te maken door expliciet via https het modem te benaderen.

dvdmeer 21 juli 2021 18:01

Hm, ben ik blij dat ik die box er niet tussen heb hangen en een eigen router gebruik voor m'n glasvezel verbinding. Niet dat dit een garantie is dat die wel helemaal veilig is maar goed....

Pmf1971 @dvdmeer • 22 juli 2021 10:38

Ik gebruik een RPi 4B samen met een Layer 2 managed switch op mijn KPN 1000/1000 pijp. Zeer tevreden over. En met adblocker in de router is het een heel stuk prettiger surfen.

dvdmeer @Pmf1971 • 22 juli 2021 11:56

<Off-topic>
Adblocker heb ik op mijn NAS in de vorm van Pi-Hole, maar helaas blokkeert die geen Youtube ads via een Chromecast. Op mijn computer en telefoon heb ik wel zat mogelijkheden (firefox+ublock) en youtube vanced.
</Off-topic>

Een aparte layer 2 managed switch is leuk maar dat zou ik weer teveel moeite vinden. Mijn Asus RT-AC88U werkt op zich ook prima, maar dan wel met Asuswrt-Merlin.
Ik heb wat meer vertrouwen in custom firmwares en de snelheden waarmee updates/fixes uitkomen.

Z100 21 juli 2021 18:11

CERT/CC raadt mensen met deze modems aan zo snel mogelijk de nieuwste firmware te installeren op hun modem of router en daarnaast remote WAN-side admin-diensten uit te schakelen en om de web interface uit te schakelen op de WAN.

En waar mogen we de WAN-side web interface dan uitzetten? Of schakel je door te gaan naar 'Administration -> Remote Management' beide uit?

Roko 22 juli 2021 11:42

Wel een beetje een clickbait door te koppen met KPN in plaats van Arcadyan

Bladerider 21 juli 2021 17:18

Hier een VGV7519
Runtime Code Version: 02.00.141W4 (15.05.2019-10:52:36)
Boot Code Version: v3.00.06c
VDSL Modem Code Version: 5.7.5.6.1.7

En links-onderin staat dit:
Arcadyan VGV7519
Firmware Version:02.00.141W4

Ze bedoelen dus ''boot code version'' ipv ''Firmware version'' neem ik aan.

PCeend @Bladerider • 21 juli 2021 17:46

In de artikelen hebben ze het over

"A path traversal vulnerability in the web interfaces of networking devices manufactured by Arcadyan, including Buffalo WSR-2533DHPL2 firmware version <= 1.02 and WSR-2533DHP3 firmware version <= 1.24"

En in tabel gaat over:

Buffalo WSR-2533DHPL2 1.02
Buffalo WSR-2533DHP3 1.24

Ik vermoed daarom dat het ook bij de andere devices niet alleen om de specifieke firmware versie gaat, maar mogelijk om firmware versies kleiner dan of gelijk aan 3.01.116.
In dat geval maakt het niet uit of het om 'boot code version' of 'firmware version' gaat: je bent in beide gevallen vulnerable...

Bladerider @PCeend • 21 juli 2021 18:09

''This vulnerability has also been confirmed to affect the following devices:''

Als je dus even verder naar beneden kijkt zie je de hele tabel met de verschillende merken en modellen

En in het artikel staat dat het specifiek die firmware versie betreft.

Heb trouwens sws remote WAN-side admin-diensten en web interface via WAN uit staan. (allow ping from WAN ook)

PCeend @Bladerider • 21 juli 2021 18:48

Ik vraag me dus af of het wel correct in het artikel staat: ik word iig zo gauw niet wijs uit de referenties. Confirmed kan namelijk ook betekenen 'dit is tot nu toe de enige versie die we getest hebben': ik zou een range van firmware versies verwachten in de tabel.

Het artikel gaat zelf namelijk in de tekst anders om met de firmware versies: namelijk '<= 1.02'. In de tabel noemen ze alleen 1.02 en dan lijkt het net of het eerdere firmware versies niet raakt (terwijl ze in tekst zeggen dat dat wel zo is...)

[Reactie gewijzigd door PCeend op 22 juli 2024 15:56]

Bladerider @PCeend • 21 juli 2021 19:38

Even goed lezen wat er staat hier: https://www.tenable.com/security/research/tra-2021-13

Op dit item kan niet meer gereageerd worden.

Authenticatie in KPN ExperiaBox kon worden omzeild door kwetsbaarheid

Lees meer

Reacties (95)

Sorteer op:

Weergave: