1
Vraag
2
Reageer en help mee
WB

Level 3
  • 19Posts
  • 2Oplossingen
  • 8Likes

Hoe kwetsbaar is mijn modem t.a.v. LOG4J

Hoe kwetsbaar zijn de Ziggo modems voor Log4j

NCSC classificeert het als een High/High, dus wel interessant om te weten..

 

PS: Ik persoonlijk heb een: 

SmartWifi  ConnectBox

En een Mediabox XL

 

 

Vraag: Als de de fabrikant van deze apparaten te achterhalen is, kan ik zelf controleren of het modem (& Mediabox?) kwestbaar zijn.
Weet iemand waar dat te vinden is?

Uitgelicht
Alex
Community Moderator
Community Moderator
  • 8992Reacties
  • 1059Oplossingen
  • 4003Likes

Hi all,

 

Goed dat jullie hierover navraag doen en logisch dat jullie vragen hebben. Dit is de officiële reactie vanuit Ziggo:

 

Wij zijn op de hoogte van de Zero Day kwetsbaarheid 'Log4Shell' in Apache Log4j Java logging library, die vele systemen in alle sectoren treft. De kennis over deze kwetsbaarheid en de exploitatie ervan is nog steeds in ontwikkeling, maar ons Cyber Defence team blijft de laatste wijzigingen in deze dreiging beoordelen en monitoren. We zijn al begonnen met het beoordelen en nemen maatregelen om de gevolgen voor VodafoneZiggo-producten en -diensten te beperken en zullen indien nodig aanvullende informatie verstrekken.

 

We willen onze klanten verzekeren dat we beveiliging zeer serieus nemen, dat onze beveiligingstools worden bijgewerkt met de nieuwste informatie en dat we proactief nieuwe bedreigingen en kwetsbaarheden opsporen. We hebben een internationaal en nationaal team van cyberbeveiligingsprofessionals dat onze systemen voortdurend beschermt, verdedigt en bewaakt.

27 Reacties 27
Steefb

Level 20
  • 15868Posts
  • 2991Oplossingen
  • 7264Likes

Modem is irrelevant bij deze kwetsbaarheid.

 

Naar mijn weten alleen een groot gevaar bij servers, als gewone consument kun je er niets mee.

WB
Topicstarter
Level 3
  • 19Posts
  • 2Oplossingen
  • 8Likes

Al heb je deels gelijk, is dit antwoord m.i. iets te ongenuanceerd.

 

 

Misschien moet ik de vraag iets anders stellen:

 

Volgens https://www.kb.cert.org/vuls/id/930724 

"A remote, unauthenticated attacker with the ability to log specially crafted messages can cause Log4j to connect to a service controlled by the attacker to download and execute arbitrary code."


"they can extract sensitive data, upload files to the server, delete data, install ransomware or pivot to other servers,” Nicholas Sciberras, head of engineering at vulnerability scanner Acunetix, said. It was “astonishingly easy” to deploy an attack, he said, adding that it would “be exploited for months to come.”

 

m.a.w. indien uitgebuit kan een aanvaller behoorlijk veel controle krijgen over het device.

 

Zover mij bekend, gebruikt het Ziggo modem -een vorm van- Java.
Omdat zij rechtstreeks met internet verbonden zijn, ben ik benieuwd in hoeverre mijn modem (en indirect mediabox) kwetsbaar zijn. Want indien uitgebuit kan een aanvaller mijn interne netwerk continue aanvallen. 

 

Mijn interne netwerk is by default (voor de meeste interne devices) een trusted netwerk. 
Daarom wil ik weten in hoeverre het modem kwetsbaar is voor een aanval.

MartijnF

Level 1
  • 2Posts
  • 0Oplossingen
  • 1Likes

Ik zou ook nog officieel antwoord hierop willen ontvangen. Ik zit met dezelfde vraag.

Steefb

Level 20
  • 15868Posts
  • 2991Oplossingen
  • 7264Likes

Nog maar eens.

 

Modem is irrelevant bij deze kwetsbaarheid.

 

Naar mijn weten alleen een groot gevaar bij servers, als gewone consument kun je er niets mee.

Het is een software probleem, dit heeft niets te maken met firmware van routers.

 

Draai je zelf een server, dan ben je mogelijk kwetsbaar.

 

Actief misbruik van kwetsbaarheid in Apache Log4j 2 | Digital Trust Center (Min. van EZK)

 

Wat is Apache Log4j 2?

Log4j is een veel gebruikte open source bibliotheek die vooral door IT-ontwikkelaars wordt gebruikt om vast te leggen of er problemen in een applicatie voorkomen. Uit diverse bronnen blijkt dat veel organisaties gebruik maken van deze open source bibliotheek.

 

log4shell/software at main · NCSC-NL/log4shell · GitHub

Bert

Level 21
T.E.A.M.
  • 75187Posts
  • 5145Oplossingen
  • 21925Likes
jbs

Level 2
  • 10Posts
  • 0Oplossingen
  • 7Likes

Beste Steef ik ben het niet met je eens. De connectbox gebruikt log4j. (bevestiging van Ziggo via de chat) En het is nog niet bekend wat je allemaal voor ellende kan uithalen.  Stel even ik flash de box naar iets onbruikbaars, Dan heb ik geen internet meer. Plus dat heel veel achter die box ook log4j gebruikt (mijn servertje thuis, mijn 2 laptops en wie weet ook de omvormer van mijn zonnepanelen )

MartijnF

Level 1
  • 2Posts
  • 0Oplossingen
  • 1Likes

Ik sluit me aan bij jbs,

Vooral om via het modem toegang tot het netwerk te krijgen is erg gevaarlijk.

Waar kan ik vinden dat deze kwetsbaar is? Ik zie de link van GitHub, maar welke hiervan is het Ziggo modem?

 

jbs

Level 2
  • 10Posts
  • 0Oplossingen
  • 7Likes

Op mijn vraag kwam na een heel lang antwoord via de chatfunctie van Ziggo:

Draait het wel of niet op mijn connectbox thuis?

 

Kort en krachtig is het; ja!

efok

Level 17
  • 4014Posts
  • 219Oplossingen
  • 1594Likes

Om deze potentiele exploit te benutten zul je het modem vanaf internet morten benadeten. Dat staat in principe dicht, dus zal zo’n vaart niet lopen. In hoeverre je via de trucendoos van binnenuit een modem kan openbreken staat nog te bezien, wellicht.

bsneller

Level 1
  • 2Posts
  • 0Oplossingen
  • 2Likes

de vraag is dus hoe kan je de log4j patch draaien zodat je niet meer kwetsbaar bent. Onafhankelijk of dat risico nou klein is of niet. Stel dat ik toch zou willen. #Hoedan?

Bert

Level 21
T.E.A.M.
  • 75187Posts
  • 5145Oplossingen
  • 21925Likes

@bsneller Je kunt zelf geen patch draaien en toevoegen op het modem.

Mocht dit nodig zijn, dan zal Ziggo dit doen.

Pasi

Level 18
  • 9855Posts
  • 493Oplossingen
  • 5477Likes

Hallo,


Afgezien van het feit of deze kwetsbaarheid nu wel of niet in Ziggo's modems zou kunnen zitten, zou een reactie van een Ziggo mod, door veel klanten dankbaar worden ontvangen.

Natuurlijk kunnen de hier aanwezige experts wel hun ideeën/theorieën, over deze kwetsbaarheid en Ziggo's apparatuur, bespreken. Maar informatie m.b.t. beveiliging en privacy, verneem je toch liever van een officiële bron, die haar klanten met zekerheid kan informeren, dus van Ziggo.

 

Helaas blijkt Ziggo in dit soort situaties een slechte provider, die haar klanten graag laat 'bungelen'. Afgaande op de vorige keer ( Cable Haunt  ) kan het 'eeuwen' duren voordat Ziggo reageert.


Dit draadje is ondertussen 2 dagen geleden aangemaakt en nog geen Ziggo mod gezien in dit draadje ... typisch Ziggo.

Alex
Community Moderator
Community Moderator
  • 8992Posts
  • 1059Oplossingen
  • 4003Likes

Hi all,

 

Goed dat jullie hierover navraag doen en logisch dat jullie vragen hebben. Dit is de officiële reactie vanuit Ziggo:

 

Wij zijn op de hoogte van de Zero Day kwetsbaarheid 'Log4Shell' in Apache Log4j Java logging library, die vele systemen in alle sectoren treft. De kennis over deze kwetsbaarheid en de exploitatie ervan is nog steeds in ontwikkeling, maar ons Cyber Defence team blijft de laatste wijzigingen in deze dreiging beoordelen en monitoren. We zijn al begonnen met het beoordelen en nemen maatregelen om de gevolgen voor VodafoneZiggo-producten en -diensten te beperken en zullen indien nodig aanvullende informatie verstrekken.

 

We willen onze klanten verzekeren dat we beveiliging zeer serieus nemen, dat onze beveiligingstools worden bijgewerkt met de nieuwste informatie en dat we proactief nieuwe bedreigingen en kwetsbaarheden opsporen. We hebben een internationaal en nationaal team van cyberbeveiligingsprofessionals dat onze systemen voortdurend beschermt, verdedigt en bewaakt.

jbs

Level 2
  • 10Posts
  • 0Oplossingen
  • 7Likes

Dat is een misverstand, via het interne netwerk kan Ziggo jouw router patchen en dus kan Ziggo er sowieso van binnen bij. Op zich kan het snel gepatched worden. De patch van log4j versie 2.16 is beschikbaar. Ik denk dat het testen en uitrollen voor Ziggo het lastigste is. Je wilt dit eerst goed testen en niet met een hoop onbruikbare routers blijven zitten. Als je een externe site host en je kan die voor een paar weken uitzetten dan zou ik dan doen. Ik begrijp dat dit een enorme klus voor Ziggo is om dit te fixen en Ik ben zeer tevreden over Ziggo, ook via de Chat kreeg ik snel antwoorden op mijn vraag.

efok

Level 17
  • 4014Posts
  • 219Oplossingen
  • 1594Likes

De modem firmware zal een update moeten hebben, als dit speelt. Voor zover ik weet kun je niet even een losse module updaten, zoals je bij linux wel kan. Het antwoord van @Alex , met alle respect, is me toch wat te algemeen. De vraag blijft of log4j in de modems aanwezig is.

Mr. Jinx

Level 4
  • 37Posts
  • 0Oplossingen
  • 12Likes

Als de kwetsbare versie van Log4j inderdaad aanwezig is, dan is dat echt wel een groot probleem dat snel opgelost moet worden.

Wat hier eerder gesuggereerd werd dat het voor consumenten niet belangrijk is, en alleen kan worden misbruikt als je modem van buitenaf bereikbaar is, is onzin.

 

Wat deze kwetsbaarheid zo ernstig maakt is dat je hiermee juist ook systemen die niet direct van buiten af bereikbaar zijn geraakt worden. Dat komt omdat dit gaat om de verwerking van logfiles.

Als je het voor elkaar krijgt om een bepaalde string in de log te krijgen, dan kun je misbruik maken van de kwetsbaarheid. Stel dat het modem een bepaalde foutmelding logged, dan kun je als aanvaller zorgen dat een geprepareerde string in de logs komt. Dat kan al door een bepaalde foutmelding te forceren, misschien wel door het bezoeken van een malafide website. Of door een corrupte ip package naar het modem te sturen, maar daarin de geprepareerde string. Als het maar in de log komt, komt het langs Log4j en heb je een probleem.

Ik zeg niet dat de Connectbox nu direct kwetsbaar is, maar helemaal veilig voelt het ook niet.

efok

Level 17
  • 4014Posts
  • 219Oplossingen
  • 1594Likes

Ik weet dat je een bepaalde string in de logs moet krijgen. Voor zover ik had begrepen moet je dan de webserver  op een bepaalde manier aanroepen waardoor die string gelogd wordt. @Mr. Jinx Dan zul je toch een intern systeem zover moeten krijgen dat hij de webserver in het modem aanroept. Maar dat kan misschien al met een malafide mailtje en daarin een link naar https://192.168.178. met een foute string......

 

De ubee1318 ZG heeft in elk geval llghttpd aan boord. geen idee of log4j daarmee samen werkt icm iets van java...🤔

 

bsneller

Level 1
  • 2Posts
  • 0Oplossingen
  • 2Likes

als ik op mijn router inlog zie je bij Beheer>Informatie : http://192.168.178.1/opensource.php staan dat er ook gebruik wordt gemaakt van log4c , weet niet of dat hetzelfde probleem heeft als log4j maar lijkt verwant.

Mr. Jinx

Level 4
  • 37Posts
  • 0Oplossingen
  • 12Likes

@efok  schreef:

Dan zul je toch een intern systeem zover moeten krijgen dat hij de webserver in het modem aanroept.

Dat klopt, maar het hoeft niet perse de aanroep van een webserver te zijn.

Stel je hebt alle poorten van je modem dicht staan, en iemand doet een poort scan op jouw modem.

Het kabelmodem zou die scan kunnen registreren en wegschrijven in de interne logs (die wij niet zien), dat er een poortscan is geweest. Meestal wordt er dan ook meteen het source IP en de useragent weggeschreven.

De useragent valt eenvoudig te manipuleren, hier kunnen we elke string in zetten. Het is maar een voorbeeldje hoor, ik zeg niet dat dit werkt, maar het geeft aan hoe gevaarlijk dit kan zijn.

E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic