Kabelmodems Cisco bevatten gevaarlijk lek - update - IT Pro - Nieuws

Cisco heeft een waarschuwing uitgestuurd voor een kritiek beveiligingsgat in een aantal docsis-kabelmodems die het bedrijf verkoopt. Onder de kwetsbare docsis-modems vallen de types DPC3925 en EPC3925, die door diverse kabelbedrijven worden gebruikt.

De kwetsbaarheid is door Cisco aangetroffen in verschillende docsis-modems: DPC3212, DPC3825, EPC3212, EPC3825, DPC3010, twee varianten van de DPC3925, de EPC3010 en de EPC3925. Volgens de fabrikant van netwerkapparatuur bevatten deze modems een bug in de afhandeling van http-requests. Een aanvaller zou met een aangepast http-verzoek een buffer-overflow kunnen veroorzaken, waarna de interne webserver van het modem crasht. Een hacker kan vervolgens zelf code op het apparaat draaien.

De kwetsbaarheid is alleen te gebruiken als het kabelmodem is ingesteld in router- of gateway-modus. Desondanks noemt Cisco het lek zeer kritiek en belooft het met patches te komen om het gat in de firmware te dichten. Er is momenteel geen work-around beschikbaar om het lek te dichten.

Onder de door Cisco genoemde kabelmodems valt een aantal modellen die door kabelaars Ziggo en UPC aan klanten zijn geleverd. Het gaat om de DPC3925 en EPC3925. Ziggo laat aan Tweakers weten dat Cisco het probleem niet aan hen heeft doorgegeven alvorens het probleem publiek te maken. De kabelaar meldt dat zijn firmwareversies in de betreffende Cisco-apparatuur niet kwetsbaar zijn gebleken. Het gat zou al in eerdere updates zijn gedicht. UPC meldt aan Tweakers hetzelfde nieuws: ook zijn modems blijken niet gevoelig voor het lek doordat een firmware-update het lek al dichtte.

Update, 15:32: Ziggo meldt dat uit eerste onderzoek blijkt dat zijn kabelmodems niet kwetsbaar zijn. Dit in het artikel verwerkt. UPC meldt hetzelfde nieuws.

Cisco EPC3925

IT-banen

Reacties (143)

notsonewbie 17 juli 2014 14:01

Ik heb ineens een blanco stuk in mijn kennis....
Want deze zin:
"De kwetsbaarheid is alleen te gebruiken als het kabelmodem is ingesteld in router- of gateway-modus. "

doet mij denken, dat is toch in 90% van de gevallen zo bij klanten thuis?
modem > router of switch
modem = (wifi-) router en switch

Wat is er nog meer dan? bridge? hoeveel eindgebruikers, het gros van upc lijkt mij, gebruikt dat?

MrMonkE @notsonewbie • 17 juli 2014 15:45

Als je twee routers hebt is dit -UPC in bridging zetten- DE manier.
Je zet UPC modem als bridge in en hangt hem aan de WAN van je eigen router.
Dit kan voor:

Prive klanten
Zakelijke klanten met 5 IP adressen

Het kan NIET voor zakelijke klanten met 1 IP address.
Deze laatsten moeten in plaats van bridging alle poorten forwarden naar hun eigen router,

[Reactie gewijzigd door MrMonkE op 22 juli 2024 21:56]

HADES2001 @notsonewbie • 17 juli 2014 14:34

weinig mensen doen het maar je kan hem als hersenloos modem instellen ouderwets 1 PC niets anders. Is wat veiliger maar gezien de meeste huishoudens meerdere PC's tablets en smartphones hebben word dit nooit gebruikt

whyz 17 juli 2014 14:27

Zeelandnet heeft al bevestigd modems te hebben geupdate
https://twitter.com/ZeelandNet/status/489747617266409474

http://www.delta.nl/over_...klanten_DELTA_ZeelandNet/

[Reactie gewijzigd door whyz op 22 juli 2024 21:56]

BrainyNL @whyz • 18 juli 2014 09:09

Wat ik wel gek vind is dat de firmware-versie datum van 27 juni 2013 is.

Bootloader Revision: 2.3.0_R1
Current Software Revision: e3200-E10-5-v302r125573-130625c
Firmware Name: e3200-E10-5-v302r125573-130625c.bin
Firmware Build Time: Jun 27 10:30:26 2013

Wanneer is deze update dan geïnstalleerd (of een vooruit ziende blik bij Zeelandnet)?

Alphalorne 17 juli 2014 13:08

Ok, dus kritiek lek en geen workaround of patch, maar wel publiek bekend maken..? Lijkt me handiger zsm een patch te maken, uit te rollen en dan bekend te maken toch?

Zer0 @Alphalorne • 17 juli 2014 13:12

Cisco has released free software updates that address this vulnerability. Workarounds that mitigate this vulnerability are not available.

Bron: de link in het artikel. Het had wel netjes geweest als dit ook in het artikel vermeld was...

Freezerator @Zer0 • 17 juli 2014 13:16

Inderdaad. Ik had dit artikel toevallig gesubmit en ook gevraagd of T.net met Ziggo contact wou opnemen (stukje echte journalistiek bedrijven) om al na te vragen wat de status hiervan was. Want er is dus wel een patch uitgerold naar de service providers en ik denk dat het dus netjes was geweest om daar ook de status te polsen, want misschien hebben ze deze al stilletjes uitgerold...

Anyweej, het is goed dat het onder de aandacht komt, want dit soort lekken verdienen een hoge prio.

devil-strike @Alphalorne • 17 juli 2014 14:27

Cisco heeft al update uitgebracht.
http://tools.cisco.com/se...isory/ciscosa-20140716-cm

wildhagen

@Alphalorne • 17 juli 2014 13:09

'Security by obscurity' noemen we dat, en dat werkt dus niet. Daarnaast is het nu niet écht klantvriendelijk om mensen niet te vertellen dat ze een serieus risico lopen...

Nu kunnen mensen evt nog een maatregel nemen (bijv het ding offline halen, of iig uit de router-modus) tot er een definitieve oplossing is.

Anoniem: 471038 @wildhagen • 17 juli 2014 13:22

'Security by obscurity' noemen we dat, en dat werkt dus niet.

Dat werkt dus WEL.
Het is vrij makkelijk statistisch aan te tonen dat exploits pas op grote schaal misbruikt worden wanneer deze publiek bekend gemaakt worden (vaak zelfs nadat er een patch gereleased is, omdat aanvallers zich vooral richten op de mensen die die patch nog niet geinstalleerd hebben).

Security through obscurity is overigens iets anders: dat gaat er om dat je bij encryptie/authenticatie-algoritmen niet erop moet vertrouwen dat het secure is omdat niemand weet hoe het werkt. Een dergelijk algoritme zou van zichzelf secure moeten zijn, ook als mensen weten hoe het werkt. Daarom is het alleen maar beter om het openbaar te maken. Als het algoritme echt goed is, dan maakt dat voor de security niet uit. Mocht er onverhoopt toch een zwakte in zitten, dan is de kans groter dat die door security experts ontdekt wordt, zodat het algoritme aangepast kan worden.

Maurits van Baerle @Anoniem: 471038 • 17 juli 2014 13:32

Klopt. Daarom bestaat er ook zoiets als responsible disclosure.

Het is vrij zeldzaam dat exploits misbruikt worden voordat ze openbaar gemaakt worden. Het lijkt eng omdat je bij de ontdekking niet zeker weet of iemand je voor is geweest maar het nooit bekend heeft gemaakt. In praktijk zijn er in verhouding maar weinig gevallen bekend. Verreweg de meeste actieve benutte exploits zitten in het gat tussen bekendmaking en patchen. Sommige mensen wachten erg lang met updaten en daar maken criminelen dankbaar gebruik van.

Het makkelijkste voor een crimineel is dus te wachten tot er een patch uit komt, die reverse engineeren om te kijken wat precies het lek is en dan die exploit te misbruiken bij iedereen die nog niet gepatcht heeft. Weinig moeite, veel succes.

Anoniem: 471038 @Maurits van Baerle • 17 juli 2014 13:45

Het is vrij zeldzaam dat exploits misbruikt worden voordat ze openbaar gemaakt worden. Het lijkt eng omdat je bij de ontdekking niet zeker weet of iemand je voor is geweest maar het nooit bekend heeft gemaakt. In praktijk zijn er in verhouding maar weinig gevallen bekend.

Je kunt het ook omdraaien: op het moment dat er op grote schaal misbruik gemaakt wordt van een exploit, dan loopt dat vrij snel in de gaten (en misschien wordt de bug zelfs ontdekt OMDAT iemand een aanval onderschepte, en uitzocht wat er aan de hand was).
In dat geval kun je het net zo goed meteen bekendmaken, in alle andere gevallen beter even wachten totdat je ook de patch hebt (sowieso zitten daar vaak maar een paar dagen tussen, dus zo'n ramp is dat niet).

freaky @Anoniem: 471038 • 17 juli 2014 13:42

Ik gok dat het ook statistisch is aan te tonen dat het nagenoeg onmogelijk is om lekken in kaart te brengen die je niet kent.

M.a.w. als het niet publiekelijk bekend is en het wel op grote schaal misbruikt wordt, ga je het wellicht niet zo snel detecteren (laat staan meten), gezien je niet weet waar je naar moet zoeken.

Hoe correct die statistieken van je zijn valt derhalve nog over te discussieren vermoed ik

Anoniem: 471038 @freaky • 17 juli 2014 13:48

Ik gok dat het ook statistisch is aan te tonen dat het nagenoeg onmogelijk is om lekken in kaart te brengen die je niet kent.

Daar zit een addertje onder het gras...
Afgezien van het feit dat het hier niet relevant is... Het ging erom dat we van de lekken die we kennen weten dat ze pas op grote schaal misbruikt werden nadat ze publiek gemaakt werden, niet daarvoor.
Er is geen reden om aan te nemen dat het anders zou verlopen voor lekken die we niet kennen (wat op zich ook een beetje krom is, want zodra ze publiek zijn, kennen wij ze ook natuurlijk).

M.a.w. als het niet publiekelijk bekend is en het wel op grote schaal misbruikt wordt, ga je het wellicht niet zo snel detecteren (laat staan meten), gezien je niet weet waar je naar moet zoeken.

Hier zit je dus fout: als een lek op grote schaal misbruikt wordt, dan zal dat niet lang onopgemerkt gaan. Het draaien van een botnet, versturen van spam, onrechtmatige betalingen uitvoeren etc... Dat is allemaal vrij makkelijk te detecteren.
En dan gaan mensen dus onderzoeken wat er gebeurt, en komen ze vanzelf uit bij het lek.

[Reactie gewijzigd door Anoniem: 471038 op 22 juli 2024 21:56]

freaky @Anoniem: 471038 • 17 juli 2014 17:08

Hier zit je dus fout: als een lek op grote schaal misbruikt wordt, dan zal dat niet lang onopgemerkt gaan.

Ik hoop dat je gelijk hebt. Ik vrees van niet. Simpel voorbeeld, 1 woord: NSA. Tot Snowden, aluhoedjes en vage mensen met vermoedens. Toch is het absolute waarheid.

Dus ja, er is zeker een addertje on het gras

edit:
Misschien handig om toe te voegen dat het ook om het doel gaat, spammers, script kiddies, etc. gebruiken veelal publiekelijk bekende exploits (veelal omdat ze ook niet capabel zijn ze zelf te vinden) en doen dan veelal dingen die makkelijk te detecteren zijn. Mensen die uit zijn op bank gegevens, etc. worden liever niet gedetecteerd - niet veel anders dan de NSA in dat opzicht.

[Reactie gewijzigd door freaky op 22 juli 2024 21:56]

Anoniem: 471038 @freaky • 17 juli 2014 17:34

Ik hoop dat je gelijk hebt. Ik vrees van niet. Simpel voorbeeld, 1 woord: NSA. Tot Snowden, aluhoedjes en vage mensen met vermoedens. Toch is het absolute waarheid.

Dus ja, er is zeker een addertje on het gras .

Tsja, daar kan ik 2 dingen over zeggen:
1) Er waren backdoors en andere zaken die op grote schaal misbruikt *konden* worden, maar het werd slechts selectief gebruikt door de NSA.
2) We zijn er mede dankzij Snowden toch achter gekomen. Zoiets hou je echt niet geheim.

Mensen die uit zijn op bank gegevens, etc. worden liever niet gedetecteerd - niet veel anders dan de NSA in dat opzicht.

Dat was dus ook mijn punt: als je niet gedetecteerd wil worden, kun je een exploit niet op grote schaal gaan gebruiken, want het loopt gauw genoeg in de gaten.
Dus het is zeker wel redelijk om een exploit niet meteen publiek te maken, maar even te wachten totdat de patch er ook is. Die paar mensen die die exploit gebruiken en niet gedetecteerd willen worden wegen niet op tegen al die wannabe hackers die makkelijk willen scoren met zo'n exploit die ze in de schoot geworpen krijgen.

downcom @Alphalorne • 17 juli 2014 13:12

ik dacht excact het zelfde.

Eerst een patch maken en het publiekelijk maken met direct een uileg hoe iedereen zijn modem kan updaten.

Daarnaast de gemiddelde huis tuin en keuken gebruiker zal nooitr zijn modem updaten omdat ze gewoon weg niet weten hoe dat moet. Waarom in bij toekomstige modellen zoals bij smartphones gewoon automatische updates? De situatie die nu gecreerd word vraagt om problemen.

andy88 @downcom • 17 juli 2014 13:21

Daarnaast de gemiddelde huis tuin en keuken gebruiker zal nooitr zijn modem updaten omdat ze gewoon weg niet weten hoe dat moet.

Dat hoeft ook niet. Je ISP pusht gewoon de vernieuwde firmware naar je modem. Heb je zelf niks mee van doen

Anoniem: 126717 @andy88 • 17 juli 2014 14:09

Bij kabelmodems wellicht wel, maar bij mijn XS4ALL Fritzbox moest ik het toch echt zelf.
De enige keer dat XS4ALL een update pushte was met de grote SSL bug.

Soldaatje @Alphalorne • 17 juli 2014 13:11

En straks komt er een patch, zijn alle modems al geïnfecteerd, botnets al over the place.
Lekker bezig zo.

Kabouterplop01 @Soldaatje • 17 juli 2014 14:08

En wordt je nog afgelsoten wegens Abuse ook

JackBol @Alphalorne • 17 juli 2014 14:49

Als je een betaald cisco account hebt kan je inloggen op de site en de bug bekijken.
De status van de bug staat op Fixed en de laatste bug update was op 9 juli.

Ze hebben het dus eerst gemaakt voor het bekend te maken.

edit: devil-strike was eerder...

[Reactie gewijzigd door JackBol op 22 juli 2024 21:56]

whyz 17 juli 2014 13:08

Ook Provider Zeelandnet levert het EPC 3925 type.

Tyrian @whyz • 17 juli 2014 19:25

Volgens ZeelandNet zijn de door hun gebruikte Cisco modems (EPC 3212 VoIP Cable en 3925 8x4 DOCSIS 3.0) niet kwetsbaar meer omdat ze al op een eerder moment van een firmware-update zijn voorzien die deze kwetsbaarheid op zou moeten lossen. Zie ook:

http://www.zeelandnet.nl/overzeelandnet/kwetsbaarheid-cisco

BaRF @whyz • 17 juli 2014 14:40

Standaard staat remote access daar wel uit op de modems, het op afstand beheren gaat via 'lokaal' 10.x.x.x netwerk

njitter 17 juli 2014 13:14

Ze hebben al een fix beschikbaar gesteld:

Cisco has released free software updates to its service provider customers that address the vulnerability described in this advisory. Prior to deploying software, customers are advised to consult their service providers or check the software for feature set compatibility and known issues that are specific to their environments.

frere @njitter • 17 juli 2014 13:15

inderdaad,

Lees ook hier. de ISP's hebben de update al alleen moeten ze die uitrollen naar alle klanten.
https://www.security.nl/p...+kabelmodems+UPC+en+Ziggo

njitter @frere • 17 juli 2014 13:26

En daar staat ook:

'Cisco zegt dat het de beveiligingsupdate voor het probleem onder de serviceproviders heeft uitgerold die het als klant heeft.'

Dus waarschijnlijk staat de fix allang op je modem en geven ze nu Full Disclosure.
Als het in omgekeerde volgorde was gegaan dan waren ze denk ik Ziggo en UPC kwijt als klant

MrMonkE @njitter • 17 juli 2014 15:43

Nou ik weet het niet hoor, het moet natuurlijk allemaal uitvoerig getest worden. UPC heeft een custom firmware voor die modems lijkt het als ik mijn modem status check.
Ik maak me er niet echt zorgen over maar misschien toch maar eens alles met snmp gaan loggen ofzo.

_Thanatos_ 17 juli 2014 13:08

De vraag is, waarom handelen ze http-requests af?

wica @_Thanatos_ • 17 juli 2014 13:10

Gaat om een https://xxx.xxx.xxx.xxx:8080 request, welke nodig kan zijn om je cisco te beheren.

_Thanatos_ @wica • 17 juli 2014 13:11

Ik mag aannemen dat je dat alleen over de LAN poort kan doen, en niet over de WAN-poort

Tenzij dat juist het lek is

[Reactie gewijzigd door _Thanatos_ op 22 juli 2024 21:56]

xleeuwx @_Thanatos_ • 17 juli 2014 13:13

UPC en Ziggo kunnen van afstand ook in je modem... dus ook via WAN.

Kevinp @xleeuwx • 17 juli 2014 14:35

dat hoeft niet, wanneer je alle ziggo modems als "lan" ziet. Het hangt erg af van hoe alles aan elkaar geknoopt zit of het een Lan of een Wan is.(overigens kan je zelf ook gewoon bij je modem als je je externe ip adres weet).

MrMonkE @xleeuwx • 17 juli 2014 15:26

Daarom heb ik dus 2 routers.
1 van UPC en 1 van mij

[Reactie gewijzigd door MrMonkE op 22 juli 2024 21:56]

freaky @xleeuwx • 17 juli 2014 17:14

Mijn SRX (zakelijke Ziggo lijn) heeft VPN met Ziggo en is alleen te beheren vanaf hun interne range daar (dus niet eens vanaf de mijne

, mag er officieel ook niet in

).

E.e.a. hangt dus zwaar samen met hoe ze het opgezet hebben en de meeste ISP's zetten hun modem beheer interfaces niet open voor de hele wereld, zeker geen ISP's die de eindgebruiker zelf niet eens toelaten, zou erg vreemd zijn

xleeuwx @freaky • 17 juli 2014 17:20

licht er aan welke zakelijke lijn, ik heb office basis en daar staat het gewoon open, en ik kan ook gewoon op het netwerk "kijken" van ziggo en dus de andere modems bekijken. oftewel ik kan modems van andere mensen beïnvloeden met deze exploid.

wica @_Thanatos_ • 17 juli 2014 13:32

Het heet niet voor niets Remote Access, dus over je WAN poort.
Echter geld dit alleen als je dit ding in router of gateway mode hebt staan.

Als ik mij niet vergis, gebruikt UPC (en denk ook Ziggo) een interne vlan, om deze modems te beheren. Dus zonder tussen komst van de gebruiker lijkt het er op, dat dit een opzich klein probleempje is. Tenzij iemand toegang verkrijgt tot het interne netwerk.

[Reactie gewijzigd door wica op 22 juli 2024 21:56]

downcom @_Thanatos_ • 17 juli 2014 13:15

Wie deze port van zijn router open zet vraagt sowieso om problemen. Als je extern toegang wil hebben tot je router zou ik een vpn verbinding adviseren en ben je direct van de meeste risico's af.

the_shadow @downcom • 17 juli 2014 13:18

Wie deze port van zijn router open zet vraagt sowieso om problemen.

Je hebt vaak niet eens een keuze. Providers hebben tegenwoordig steeds vaker extern de mogelijkheid om routers die bij klanten staan te configureren/troubleshooten.

GravGunner @the_shadow • 17 juli 2014 13:27

Toen ik 5 jaar geleden bij een ISP op de helpdesk zat moest de klant een knopje achterop de router indrukken en had ik 5 min de tijd om erop in te loggen met een (vooraf) gegenereerde code.

Mag hopen dat zo'n constructie nog steeds van toepassing is....

MrMonkE @the_shadow • 17 juli 2014 15:33

@the_shadow

Zie ook boven.

Grote boze internet -> UPC modem/router -> Eigen router -> LAN

Zo kan UPC niet zonder te hacken op je LAN komen.

S-A-I-N-T @wica • 17 juli 2014 13:42

Mocht het idd port 8080 zijn die het probleem veroorzaakt zou je dus in theorie een Nat rul in je modem kunnen zetten die poort 8080 door zet naar een intern niet bestaand IP adres?
dan komt hij op niets uit lijkt mij?

is in iedergeval het proberen waard.
gezien ik zelf over zo'n modem beschik gaat ik hier thuis even mee aan de gang zodra ik iets meer info heb gevonden.

wica @S-A-I-N-T • 17 juli 2014 13:43

Als je toegang hebt tot de modem kan je dat idd doen. Anders moet je vanuit het interne netwerk gaan (iets met 10.x.x.x)

S-A-I-N-T @wica • 17 juli 2014 13:51

zelf ben je instaat nat rules aan te maken om bijvoorbeeld een interne server te draaien of gewoon voor je Xbox oid

maar de vraag is natuurlijk. is het poort 8080 die via je Externe adres wordt benaderd of heeft het modem nog een 2e "beheer adres" waarvanuit deze lek benaderd word.

Is het laatste het geval dan zal het zelf doorzetten van 8080 geen zin hebben.

Echter gezien het probleem voorkomt als je hem in router mode heb staan ipv bridge mode zit het vermoedelijk om optie 1 gaan.

LOTG @_Thanatos_ • 17 juli 2014 13:11

Staat er toch, het modem heeft een webserver. Waarschijnlijk kun je ze via een webUI configureren.

Jammer dat ze dit wel bekend maken, maar geen oplossing bieden.

3raser @_Thanatos_ • 17 juli 2014 13:12

Ik neem aan dat je externe HTTP-requests bedoeld. Want het lijkt me dat daar het grootste gevaar vandaan komt. Een beetje router heeft zijn webinterface afgeschermd voor de WAN zijde.

GewoonWatSpulle 17 juli 2014 13:10

waarna de interne webserver van het modem

De router, en dit is het probleem van al deze 'modems' ze zijn naast een modem, een router, een dhcp server, firewall, webserver en VOIP/SIP server. Veel plekken waar het fout kan gaan in een 'leveren en nooit meer naar omkijken'-product.

the_shadow @GewoonWatSpulle • 17 juli 2014 13:15

Tsja, wat is het alternatief? Maar weer terug naar de tijd dat we met seriele kabels de hardware moesten configureren? Een interne webserver (of in ieder geval een SSH server) is tegenwoordig gewoon nodig voor externe configuratie, er zijn te veel consumenten die geen flauw idee hebben hoe ze dingen moeten aan pakken en dan is het toch nodig dat er een helpdesk poppetje even meekijkt.

Anoniem: 471038 @GewoonWatSpulle • 17 juli 2014 13:26

Veel plekken waar het fout kan gaan in een 'leveren en nooit meer naar omkijken'-product.

Nooit meer naar omkijken is niet waar. Deze modems kunnen op afstand een firmware-update krijgen.
Het is wel waar dat dit betekent dat bedrijven als UPC en Ziggo hun verantwoordelijkheid hier moeten nemen: als er updates zijn, moeten ze die via hun netwerk verspreiden. En als modems op een gegeven moment EOL zijn, moeten ze deze bij de klant vervangen door nieuwere modellen.

layzzzz 17 juli 2014 13:09

Ik heb nog steeds een modem zonder WIFI/Router functionaliteit en als ik dit zo lees mag het lekker zo blijven. Twee jaar geleden had ik een nieuwe router nodig en wilde Ziggo mij de nieuwe modem/router niet opsturen, ik heb toen maar zelf een router gekocht, wat ben ik blij dat ik deze troep nooit heb gehad.

Ziggo Hotspots heb ik gelukkig wel.

Arjan90 @layzzzz • 17 juli 2014 13:13

Wat een onzin, je kan een evt. WiFi router van Ziggo toch gewoon in bridge modus zetten? Dat hebben wij ook, deze bug heeft dus helemaal geen effect ondanks dat we een EPC3925 hebben hangen.

Dit probleem kan natuurlijk net zo goed met je eigen router voorkomen.

layzzzz @Arjan90 • 17 juli 2014 13:19

Dat kan, ik heb toch liever een modem.
En bij een router kies je welk merk model etc. dat is dus een non-argument.

Arjan90 @layzzzz • 17 juli 2014 13:55

Nofi, maar dat merk en model wat jij uitkiest kan natuurlijk ook gewoon een kwetsbaarheid hebben. Moet je voorstellen dat ze voor de populaire TP-LINK 1043ND opeens een achterdeur vinden, dat wisten die mensen niet toen ze dat router kochten. Je eigen keuze is dus totaal irrelevant, elk product kan een kwetsbaarheid hebben.

Frits1980 @Arjan90 • 18 juli 2014 00:12

en dus heb ik een linksys van een hogere serie die gewoon automatisch zelf de software update. lekker makkelijk en hopelijk veiliger. alleen heb ik helaas wel een upc zakelijke verbinding en staat mijn Cisco dus niet in bridge modus. maar dat terzijde.

Zorian 17 juli 2014 13:08

Nog een reden dat ik blij ben dat mijn EPC3925 in bridge draait.
Is het niet vanwege de zwaar brakke router die erin zit, dan is het wel om deze reden.

TheDukemaster @Zorian • 17 juli 2014 14:14

Maar is het dan genoeg om dit zelf via de cisco instellingen te doen(connection mode op bride only zetten en remote management uit) of moet er van de kant van Ziggo dan ook nog wat gebeuren?

Verstekbakker @TheDukemaster • 17 juli 2014 14:32

Volgens mij kan dat alleen door Ziggo gedaan worden. Bij mij heeft toen een monteur het moeten doen nadat ik erop bleef hameren dat ik de routerfunctie uitgeschakeld wilde hebben.

Zorian @TheDukemaster • 17 juli 2014 14:34

Zoals Verstekbakker al zei kan alleen Ziggo zelf dit doen.
Gewoon een kwestie van bellen met 1200 (gratis indien vanaf je vaste Ziggo-lijn) en zeggen dat je je modem in bridge wil i.v.m. een eigen router erachter.

Deem 17 juli 2014 13:08

Ik vind het toch jammer van Cisco als merk. Ik had ze altijd hoog zitten qua merknaam, maar steeds vaker blijken hun producten niet te voldoen aan die verwachtingen.

_Thanatos_ @Deem • 17 juli 2014 13:09

Het zit em niet in hoeveel security issues je produceert, maar in hoe je ze oplost.

D33F @_Thanatos_ • 17 juli 2014 13:14

Dan hoop ik maar dat het snel opgelost gaat worden.
Daarbij kwam Cisco ook al niet bepaald goed in het nieuws omtrent de bekendmakingen van Snowden / NSA met betrekking tot back-doors in hun apparatuur.

[Reactie gewijzigd door D33F op 22 juli 2024 21:56]

EgMaf @D33F • 17 juli 2014 13:33

Ik meen me te herinneren dat Cisco helemaal geen backdoors had, maar dat de NSA leveranties naar klanten onderschepte om er zelf een backdoor in te bouwen en dan alsnog door te sturen.

Dat kun je Ciso niet verwijten, vind ik. Het geeft zelfs aan dat Cisco het niet zelf wilde doen (en dat is ze vast wel gevraagd, al dan niet met een beetje dwang...)

D33F @EgMaf • 17 juli 2014 13:41

Bedankt voor de opheldering, dan neem ik mijn uitspraak terug, want dan heb ik het waarschijnlijk verkeerd opgeslagen in mijn herinnering

[Reactie gewijzigd door D33F op 22 juli 2024 21:56]

OddesE @D33F • 17 juli 2014 14:00

Hebben jullie het over dit incident?
Ik kan me herinneren dat de Cisco topman toen een dringend beroep op president Obama gedaan heeft om dit soort praktijken te stoppen omday anders Cisco zijn exportmarkt in gevaar komt.

sspiff @EgMaf • 17 juli 2014 14:23

Er zitten wel backdoors in sommige apparaten, maar dat is het geval voor elk bedrijf dat in de VS verkoopt. Ze noemen het "lawful intercept" en het is opgelegd door de wet in de VS. Meer info vind je op https://en.wikipedia.org/...e_for_Law_Enforcement_Act

Ik weet niet of die functionaliteit ook aanwezig is in firmware geleverd buiten de VS, maar ik vermoed van niet.

[Reactie gewijzigd door sspiff op 22 juli 2024 21:56]

JackBol @sspiff • 17 juli 2014 14:43

Jazeker, en het wordt ook gebruikt.

Artikel 13.2 lid 2 van de Telecommunicatiewet:

Aanbieders van openbare telecommunicatiediensten zijn verplicht medewerking te verlenen aan de uitvoering van een bevel op grond van het Wetboek van Strafvordering dan wel een toestemming op grond van de Wet op de inlichtingen- en veiligheidsdiensten 2002 tot het aftappen of opnemen van door hen verzorgde telecommunicatie.

Batiatus @JackBol • 17 juli 2014 15:31

Correct me if i'm wrong, maar volgens mij geldt dit voor de aanbieders van internetdiensten, zoals KPN, Vodafone, T-mobile etc. Zij moeten dan ook aftapmogelijkheden hebben en de hardware daarvoor ook leveren aan bijv. de AIVD of THTC wanneer zij eventjes een lijntje willen tappen. Cisco is een leverancier van die hardware, volgens mij dienen zij (in ieder geval in Nederland) echt geen backdoor te implementeren.

JackBol @Batiatus • 19 juli 2014 14:13

http://www.cisco.com/en/US/technologies/tk583/tk799/faq.html

De implementatie voor de US en voor NL is identiek.
Overigens is het geen backdoor maar een feature.

De ISP neemt namelijk actief actie om Lawful Intercept functionaliteit voor de overheid mogelijk te maken door middel van een technische koppeling.

[Reactie gewijzigd door JackBol op 22 juli 2024 21:56]

SamTex @EgMaf • 17 juli 2014 16:22

Bedoel je bv deze bron
http://www.engadget.com/2014/05/16/nsa-bugged-cisco-routers/
of
http://www.theguardian.co...-internet-routers-snowden
of
http://www.wired.com/2013/09/nsa-router-hacking/
vul maar aan de lijst

gladius1983 @EgMaf • 17 juli 2014 21:30

Of de mogelijkheid tot plausible deniability.

Anoniem: 500749 @D33F • 17 juli 2014 13:45

probleem ligt denk ik meer bij UPC/Ziggo in dit geval dan CISCO aangezien ze een rebranded/custom firmware gebruiken
daarnaast zouden ze en iedereen zelf dit soort dingen in de gaten moeten houden en CISCO vragen er vaart achter te zetten
dat geldt ook voor andere klanten van CISCO
we kunnen niet allemaal de verantwoordelijk volledig bij hen leggen, want het trieste is gewoon dat dit oud nieuws is

dit exploit of deze techniek is al maanden bekend op andere devices en word overal gepatched
heb het over dit exploit nog gehad, langere tijd geleden op het Ziggo gebruikers forum onder een thread waarvan de eigenaar vroeg hoe het zat met veiligheid van CISCO modems/routers en het NSA gehuil, lol
met andere woorden, het is al lang bekend
en word al lang door mensen aan gewerkt
maar als ziggo het niet weet en CISCO hun firmware niet beheerd of niet zo snel of wat dan ook...
tja

[Reactie gewijzigd door Anoniem: 500749 op 22 juli 2024 21:56]

sspiff @Anoniem: 500749 • 17 juli 2014 14:28

Ik ben vrij zeker dat Cisco al hun grotere klanten op de hoogte brengt als iets als dit ontdekt wordt. Het is slechte reclame om dergelijke bugs te vinden, maar nog veel slechter is het wanneer een klant er achter komt dat je hem niet duidelijk op de hoogte gebracht hebt.

Anoniem: 500749 @sspiff • 17 juli 2014 14:47

dat zal vast gebeuren maar mijn punt is dat communicatie twee richtingen op moet gaan, wanneer klanten eerder op de hoogte zijn van bugs dan in dit geval CISCO zelf

daarnaast zijn er genoeg kwaadwillenden die onder de gedachte van boycot of zelfverheffing problemen zoeken bij anderen
beiden groepen grijpen alle kansen aan op het misbruik van media

in dit geval is deze bug of techniek al tijden bekend
en geef ik als extra mogelijkheid/verklaring van de vertraging dat het misschien ook deels bij Ziggo/UPC ligt om bij CISCO om prioriteit te vragen, ALS, ze al met het probleem bekend waren
en dat geldt in mijn ogen voor andere klanten van CISCO of elk bedrijf dan ook

dus, tja...
denk dat we er veel woorden aan vuil kunnen maken maar wanneer we gewoon onthouden dat we met mensen te doen hebben dan is het plaatje veel duidelijker
angst en onwetendheid maken dit soort (oud) nieuws spectaculair

Deem @_Thanatos_ • 17 juli 2014 13:19

Dat kan wel zo zijn, maar een slecht product (met name hun decoders) blijft een slecht product.

theduke1989 @Deem • 17 juli 2014 13:23

Ik heb meer last gehad van de samsung decoders bij UPC met hun vertraagde troep allemaal. Waardoor ik ben overgestapt op CI+ dan hun routers waar ik nooit problemen mee heb gehad.

Ik gebruik het als een modem en niet als een router, dus dat zit wel goed.
Echter zoals hierboven wordt gezegd, het is hoe meer hoe je de bugs verhelpt...

loki504 @Deem • 17 juli 2014 13:33

sorry maar ik heb nooit problemen gehad met hun decoders. maar die decorder zonder hdd soms een probleem. en om nog maar te zweigen van hun samsung decorders. die zijn helemaal drama.

halofreak1990 @Deem • 18 juli 2014 12:12

Mwah. Ik denk dat bij de meeste decoders de problemen terug te leiden zijn naar de door de kabelaar geïnstalleerde firmware.

Mopperman @_Thanatos_ • 17 juli 2014 13:12

En daar ben ik het mee eens. Het kan zomaar zijn dat Ubee bijv. meer issues heeft maar ze niet echt kenbaar maakt en "stilletjes" oplost, of juist helemaal niet.

freaky @_Thanatos_ • 17 juli 2014 13:37

Nou niet helemaal hoor.

Of jij moet content zijn met een leverancier waar ze 5 beveiligings gaten per dag in vinden en ze wel iedere dag daar patches voor uit brengen, maar ik niet.

Tot op zekere hoogte is het inderdaad wel acceptabel/te verwachten, maar er ligt wel degelijk ergens een grens. En die grens kom ik steeds vaker tegen, erg veel software pushed tegenwoordig maar updates die meer ellende veroorzaken dan ze oplossen omdat er op testen/qa bespaart wordt of dat managers het belangrijker vinden om een update naar buiten te pushen dan dat hun klanten hun servers crashen.

sequenter @_Thanatos_ • 17 juli 2014 21:31

Helemaal eens, en daarom is het volgende linkje erg interessant om naar te kijken en je te verbazen hoe slecht Cisco zijn problemen oplost.
https://www.youtube.com/watch?v=f3zUOZcewtA

Wishmaster86 @Deem • 17 juli 2014 13:12

je vergeet wel dat de technieken die hackers/ beveiliging experts gebruiken om deze lekken te vinden steeds beter worden.
Plus deze modems zijn al meer dan 1.5 jaar oud. Ik hoop dat ze hier gauw een update voor vrijgeven.

Kevinp @Deem • 17 juli 2014 13:56

Cisco heeft zijn goede naam te grabbel gegooit door Lyxsis uit te faseren. Consumenten modems zijn nu ook onder de goede Cisco naam uitgebracht. Waar deze goede naam niet meer terecht is dan voor normale consumenten producten. Deze zijn ook niet beter.

Om snel veel meer te verkopen is het gunstig op lange termijn kan je beter twee merken houden. Waar je in ieder geval van één nog goed op aan kan dat die echt beter is.

Black Piet @Kevinp • 17 juli 2014 14:21

Linksys is al een tijdje geleden overgenomen door Belkin...

De producten van Cisco zijn nu ook echt een Cisco product.

Tozz @Black Piet • 17 juli 2014 15:10

Nouja dat is dus niet helemaal het geval. Een Cisco switch is een heel ander product dan een Cisco SBS switch. Cisco SBS is troep/soho/consumenten spul, Cisco is het professionele merk.

Idem met telefoons. Je hebt de Cisco 7940 (de telefoon die je bijna in elke tv serie/film ziet) maar ze hebben nu ook de Cisco SPA serie (Vroeger Linksys). Ook die 2 varianten zijn niet met elkaar te vergelijken.

Kevinp heeft dus wel een punt dat het onderscheid in het professionele en consumenten/soho segment lastiger te zien is dan voorheen toen het nog de naam Linksys droeg.

Black Piet @Tozz • 17 juli 2014 17:43

Oke,
Dat wist IK weer niet...

Ik heb nog twee Linksys gigabit switches (SRW2008MP) in de kast liggen die nu kapot zijn (denk de voeding). Moet nog een nieuwe gigabit switch kopen, en dacht een goede koop te doen aan die nieuwe Cisco switches SOHO serie.

Ik ga maar even verder kijken

Anoniem: 114278 @Deem • 17 juli 2014 15:04

Cisco dicht ernstig lek in modems UPC, ZeelandNet en Ziggo
https://www.security.nl/p...+UPC,+ZeelandNet+en+Ziggo

Zie ook: http://tools.cisco.com/se...isory/ciscosa-20140716-cm

[Reactie gewijzigd door Anoniem: 114278 op 22 juli 2024 21:56]

GekkePrutser @Deem • 17 juli 2014 17:26

Deze routers komen ook niet uit Cisco's eigen keuken maar van het bedrijf Scientific Atlanta dat ze overgenomen hebben. Niettemin zijn ze daar wel al een aantal jaren eigenaar van, dus ze hebben tijd genoeg gehad om orde op zaken te stellen.

Op dit item kan niet meer gereageerd worden.

Kabelmodems Cisco bevatten gevaarlijk lek - update

Lees meer

IT-banen

Reacties (143)

Sorteer op:

Weergave: