ConnectBox nog steeds zeer kwetsbaar voor DoS, wanneer nieuwe firmware?

  • 14 augustus 2018
  • 14 reacties
  • 3239 keer bekeken

Reputatie 5
Badge +5
Ziggo verwacht Connect Box-patch voor dos-lek in april 2018 uit te brengen
Het is inmiddels half augustus, en de Ziggo Connectbox is nog steeds kwetsbaar voor deze zeer simpele DoS aanval.

Maandenlang is de CVE over deze kwetsbaarheid verborgen geweest op de CVE website, maar nu Intel eindelijk zelf de problemen onderkend heeft is ook de CVE weer terug.

Hier de resultaten van mijn ConnectBox:

Baseline, geen DoS, 0% loss, 17ms average ping
code:
105 packets transmitted, 105 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 12.010/17.364/123.931/12.120 ms


0.5MBit DoS, 7% packet loss, 117ms average ping
code:

99 packets transmitted, 92 packets received, 7.1% packet loss
round-trip min/avg/max/stddev = 14.564/117.156/258.092/74.305 ms


1Mbit DoS, 52% packet loss, 249ms average ping
code:

92 packets transmitted, 44 packets received, 52.2% packet loss
round-trip min/avg/max/stddev = 13.609/249.186/390.803/72.137 ms


2Mbit DoS, 68% packet loss, 232ms average ping
code:

97 packets transmitted, 31 packets received, 68.0% packet loss
round-trip min/avg/max/stddev = 15.083/232.439/417.672/92.414 ms


Wanneer mogen we de firmware met DoS fix nu verwachten?

Dit topic is gesloten. Staat je antwoord hier niet bij, stel dan je vraag in een nieuw topic.

14 Reacties

Reputatie 7
Wat is de status is inmiddels of moeten wij blijven wachten op een patch?
Nieuwe software is constant in ontwikkeling, de nieuwste release wordt op dit moment door een testpanel getest.
Volgens een AVAST Wifi inspectie is het apparaat CH7465LG(Compal) kwetsbaar voor aanvallen van hackers; kwetsbaarheid id: CVE-2017-14491. Ik ben geen techneut, maar ik begrijp wel dat de dicussie tussen degenen die dat wel zijn hierover gaat. Wat is de status is inmiddels of moeten wij blijven wachten op een patch?
Badge
Het zou leuk zijn voor de techneuten onderons de release notes vrij te geven, indien mogelijk.
Reputatie 7
@Jopio De exacte duur is onbekend, dat hangt volledig af van de issues die gevonden worden en de implementatie van de oplossingen daarvoor.

Reken in ieder geval op weken, mogelijk maanden.
Reputatie 4
Badge +1
Update: 14-11 .... ... en dit zal enige periode doorlooptijd vergen.

Mag ik misschien vragen wat er bedoeld wordt met enige tijd?
Enige uren? Dagen? Weken misschien?
Reputatie 7
Update: 14-11 hebben we een nieuwe release gekregen waar ook de fix voor het Dos-lek in zit. Deze moeten we wederom door onze testen heen halen en dit zal enige periode doorlooptijd vergen.
De release die in augustus werd getest is uiteindelijk afgekeurd vanwege wifi issues.
Dit dos-lek is niet gevaarlijk wel lastig, je Connectbox verliest alleen de verbinding. ;)

Groet, Gusto
Reputatie 7
De kwetsbaarheid in het WPA2 protocol is natuurlijk wat anders dan het Dos-lek waar dit topic over gaat, of daar een patch voor uitgebracht is door onze leveranciers durf ik op dit moment niet te zeggen maar dat zal ik navragen.
Daarbij is de oplossing ook tweeledig lees ik: "Mijn router of mijn internettoestel?
De aanval misbruikt clients (toestellen) en geen access points (routers). Het kan dus zijn dat je router geen patch nodig heeft. Het is dus vooral van belang dat je smartphone, pc of slimme speaker een patch krijgt."

Edit: Er loopt al een uitgebreid topic voor de WPA2 kwetsbaarheid, conclusie: cliënts zijn kwetsbaar en moeten worden gepatched, router kwetsbaarheid zit in een protocol wat de Ziggo routers niet ondersteunen dus er is geen patch nodig.

M.b.t. de status van de patch voor het Dos-lek, dit zal ik navragen.
Reputatie 3
Badge
@Mark Ziggo

We zitten nu in Q4 van 2018.
Wanneer komt de nieuwe firmware nu eindelijk?

Het is inmiddels weer een jaar geleden, dat de KNACK kwetsbaarheid aan het licht kwam.
https://datanews.knack.be/ict/nieuws/dit-moet-u-weten-over-het-wifi-lek-met-wpa2/article-normal-913165.html

OpenWRT reageerde direct, net zoals zovele router fabrikanten, met een Fix.
En Ziggo?
Zoals gewoonlijk.........Niet.......of rijkelijk laat.

Meer een jaar na dato, is er nog niets gebeurt, ook niet aan het bovengenoemde DDos kwetsbaarheid.
Heeft Ziggo helemaal niets geleerd uit het verleden, nadat haar DNS servers compleet lam zijn gelegd, door een scholier, middels DDos?

Veiligheid staat helaas niet hoog op het Ziggo prioriteiten lijstje, blijkt middels de praktijk.
Het is beter om direct een fix uit te brengen, waar nog wat bugs in zitten, i.p.v. het lek zolang open te houden.
Reputatie 7
kun je ook navragen wanneer het mogelijk wordt om zelf DNS servers voor de DHCP server zelf in te voeren / aan te passen?Daar wordt inderdaad aan gewerkt, maar nog geen zicht op een releasedatum.
Reputatie 7
Badge +8
@Mark Ziggo, ietwat offtopic, kun je ook navragen wanneer het mogelijk wordt om zelf DNS servers voor de DHCP server zelf in te voeren / aan te passen?

gr, Henno
Reputatie 7
Update: De fix hiervoor is verwerkt in een nieuwe firmware update die gepland stond voor Q2 2018. Echter is daarin vertraging opgelopen door nieuwe bugs die eerst opgelost moeten worden.

Voor de Compal Connectbox zit de fix in firmware versie 18.25
Voor de Arris Connectbox zit de fix in firmware versie 4.2
Reputatie 7
Hier is mij niets van bekend Arie, ik vraag het na voor je!
Badge
Zorgwekkend, ik ben ook zeer benieuwd wanneer die patch word vrijgegeven. Ik ben die connectbox echt helemaal zat. Ik heb hier nog een Technicolor 7200 liggen maar die wil Ziggo helaas niet meer activeren, ik wacht nog heel even de uitspraak over vrije modem keuze af, en als dat niks oplost dan rest mij niks anders dan op te zeggen helaas.