Beantwoord

Aanpak Ziggo modems verhelpen "Cable Haunt" beveiligingslek

  • 12 januari 2020
  • 28 Reacties
  • 3476x Bekeken

Zoals recent bekend gemaakt zijn de Ziggo kabelmodems middels “Cable Haunt” door hackers over te nemen:

https://tweakers.net/nieuws/162190/onderzoekers-kwetsbaarheid-in-kabelmodems-treft-vele-miljoenen-exemplaren.html

 

Lijkt mij iets waar Ziggo met hoogste spoed op moet reageren! Maar ik kan nog niets terugvinden.

icon

Best beantwoord door Mark Ziggo 13 januari 2020, 12:43

Wij hebben van Cable Haunt vernomen en hebben dit in onderzoek.

Bekijk origineel

28 Reacties

Iets te kort door de bocht voor nu om dit zo te stellen. In het artikel staat dat het nog niet zeker is of Ziggo modems kwetsbaar zijn. Dat moeten we gewoon eerst testen. Dat ga ik straks maar een even doen.

De connectboxen hebben de “ beruchte” Intel puma 6, hier gaat het om broadcom, zoals mijn tc7210….. Ik kom erop terug.
 

Hier staat een lijst met modems waarvan inmiddels bekend is dat ze kwetsbaar zijn. https://cablehaunt.com

Reputatie 2
Badge

Deze volg ik even mee.

Reputatie 7
Badge +26

Lijkt mij iets waar Ziggo met hoogste spoed op moet reageren! Maar ik kan nog niets terugvinden.

Denkt u echt dat Ziggo uw aansporing nodig heeft? Ziggo zal ongetwijfeld op de hoogte zijn van alle veiligheidsproblemen, maar zullen niet aan de grote klok hangen in hoeverre Ziggo er door wordt getroffen en welke maatregelen zijn of worden genomen. Dat zou eigenlijk neerkomen op een uitnodiging tot aanvallen.

Bij mijn TC7210 geen kwetsbaarheid aangetroffen op 192.168.178.1 in elk geval.

Reputatie 7
Badge +35

In het artikel staat ook duidelijk:

Ziggo, levert aan klanten doorgaans een Compal CH7465LG-ZG, maar die staat niet op de lijst.”

De connectboxen van Ziggo hebben een Intel Puma 6 chip, het gaat hier om broadcom. Ubee is dacht ik wel broadcom, en mijn TC7210 ook. Van andere modems weet ik het zo niet. Maar je kunt het gewoon zelf testen. Ik waan mijzelf veilig. 😅

Ook mijn Ubee EVW3226 is niet kwetsbaar op 192.168.100.1.

Het gaat toch alleen over kwetsbaarheid van de Router?

Ik verwacht niet dat deze exploit actief is op de Arris & Compal Connectbox V1, Arris Connectbox V2, oudere Ubee & Cisco modellen ivm gebruik Puma chipset en foto’s laten zover ik kan zien ook geen enkele broadcom chips onboard zien.

Het lijkt exclusief een broadcom probleem te zijn waarbij ook standaard waardes aan bij dragen.

Het is mogelijk dat het nieuwe Ubee of TC7210 vatbaar zijn maar tot zover nog niks over kunnen vinden.

Meten (testen) is weten. :wink:

Meten (testen) is weten. :wink:

Exactly my point 😉

Reputatie 6
Badge +8

Lijkt mij iets waar Ziggo met hoogste spoed op moet reageren! Maar ik kan nog niets terugvinden.

Denkt u echt dat Ziggo uw aansporing nodig heeft? Ziggo zal ongetwijfeld op de hoogte zijn van alle veiligheidsproblemen, maar zullen niet aan de grote klok hangen in hoeverre Ziggo er door wordt getroffen en welke maatregelen zijn of worden genomen. Dat zou eigenlijk neerkomen op een uitnodiging tot aanvallen.


Deze opstelling is m.i. veel te passief.

Zoals vaker gemeld is Ziggo een commerciële ondernemen en zal alles vanuit dat oogpunt bekijken. U gaat ervan uit dat Ziggo dit gaat onderzoeken ( en laat het verder blijkbaar daarbij ), hopende dat Ziggo ( ooit/t.z.t. ) wel actie onderneemt.

Echter, het betreft ook mijn veiligheid en dat laat ik niet alleen aan Ziggo over. Ik verwacht gewoon dat Ziggo binnenkort een patch uitbrengt en daarna haar klanten informeert dat het lek verholpen is of haar klanten meldt dat het lek niet aanwezig is. Zo lossen grote bedrijven dit op en zo zou ook Ziggo zich moeten gedragen.

Helaas, wie een tijdje het reilen en zeilen van Ziggo volgt, weet dat Ziggo graag vaak iets zegt te gaan doen ( om het woord ‘beloven’ maar niet te gebruiken, want Ziggo houdt het namelijk graag altijd erg vaag ). Daarna voert Ziggo blijkbaar een informatie stop ( m.b.t. dat onderwerp ) in, wordt het erg stil en duurt het vaak heel lang voordat ( indien ooit ) het uitgevoerd wordt.
Er zijn daarvan voorbeelden genoeg: b.v. allerlei apps voor verschillende merken tv’s. Of de update van de Next, die lang geleden werd aangekondigd, maar nu al maanden op zich laat wachten. Deze 'zaken’ kunnen vast en zeker wel sneller opgepakt/verholpen worden, maar om e.o.a. reden heeft Ziggo blijkbaar geen ‘zin’ om daar stappen in te maken.

Tevens hoef ik andere bedrijven, zo als b.v. Facebook of Google niet aan te halen, om aan te tonen dat men commerciële bedrijven niet op hun blauwe ogen kan geloven. Nu is Ziggo misschien niet zo groot, maar het is wel van Liberty Global en dat is een Amerikaans onderneming.


Zijspoor: Onderzoekers: kwetsbaarheid in kabelmodems treft vele miljoenen exemplaren
 

Reputatie 7
Badge +35

Deze opstelling is m.i. veel te passief.”

Alle bedrijven houden hun mond als er een lek gevonden is tot het is opgelost en dan vaak nog om niet hun kwetsbaarheden openbaar te maken, je gaat de gaten in je verdediging niet vertellen aan de vijand, ook niet achteraf om ze op ideeën te brengen.

Zelfs ethische hackers en tech bedrijven, die een lek vinden, houden een bepaalde periode hun mond, om de eigenaren van systeemsoftware, software en hardware de kans te geven om het op te lossen en om criminele hackers niet de lekken op een bordje te geven en de mogelijkheden te geven om allerlei criminele acties uit te voeren.

Als een lek niet binnen 60 dagen voor software en 6 maanden voor hardware is aangepast, dan kan men besluiten het naar buiten te brengen om de druk op te voeren om een oplossing te forceren.

Reputatie 7
Badge +35

Of de update van de Next, die lang geleden werd aangekondigd, maar nu al maanden op zich laat wachten.”

Wel even het hele verhaal vertellen hè @Pasi 

Over de updates is altijd open gecommuniceerd, planning updates om de 6 weken, als er in eerdere tests geen problemen mee gevonden zijn, anders kan het langer duren, om klanten niet met meer problemen op te zadelen dan er oplossingen in de update zitten.

Uit de reacties op het Tweakers artikel bleek dat er Ziggo klanten al kwetsbaarheden hadden geconstateerd.

 

Ik heb de test zelf ook gedraaid op mijn TC7210 en krijg daar geen gevonden kwetsbaarheden.
https://cablehaunt.com/

https://github.com/Lyrebirds/cable-haunt-vulnerability-test

Het gaat toch alleen over kwetsbaarheid van de Router?

Ah. Nog even doorgelezen. Het is een aanval met malware, gestart van binnenuit.

First, access to the vulnerable endpoint is gained through a client on the local network, such as a browser. Secondly the vulnerable endpoint is hit with a buffer overflow attack, which gives the attacker control of the modem.


Voor de rest gaat het over Web Sockets en CORS. Dat speelt zich af in TCP/IP layers, waar het Modem geen weet van heeft. Beetje vaag verhaal. Mij is uit de uitleg niet duidelijk wat de  Modem Chipset met dit alles te maken zou kunnen hebben.

Daarmee is niet gezegd dat dit probleem niet iets heel vervelends zou kunnen zijn. De eerste kwestie is: hoe voorkom je dat de boel vanuit je LAN wordt opgestart. Daar lees ik niks over. Is een fatsoenlijke malware protectie en  het niet klikken op verdachte links in Emails of op een Web Page, zoals gebruikelijk, niet voldoende ter voorkoming van dit -en een hoop ander- onheil?

Reputatie 6
Badge +8

Of de update van de Next, die lang geleden werd aangekondigd, maar nu al maanden op zich laat wachten.”

Wel even het hele verhaal vertellen hè @Pasi 

Over de updates is altijd open gecommuniceerd, planning updates om de 6 weken, als er in eerdere tests geen problemen mee gevonden zijn, anders kan het langer duren, om klanten niet met meer problemen op te zadelen dan er oplossingen in de update zitten.


Natuurlijk weet jij veel beter dan ik, hoe Ziggo werkt. Jij bent tenslotte al veel langer actief op deze site. :thumbsup:

M.b.t. de updates voor de Next. Volgens mij was de 4.19 AV update op 13 nov. Dat is nu ( oké morgen ) 2 maanden geleden. En inderdaad, als er geen problemen met de Next waren, dan had het allemaal geen haast. Maar er zijn genoeg bugs te verhelpen.
Dat ze niet overhaast updates moeten uitbrengen, ook daar heb je gelijk in. Echter, de Next is in feite al jaren oud ( zoals je weet werd deze al in 2016 door Virgin gebruikt ) en daarom is het schrijven van firmware/software voor dit apparaat allang geen rocket science meer. En áls de huidige firmware/software nu bom vol met opties zat, ja dan. Dan moet je natuurlijk wat meer opletten, dat een wijziging links, niet ergens iets rechts bijt. Maar heeft de Next eigenlijk wel opties?

Reputatie 6
Badge +8

Of de update van de Next, die lang geleden werd aangekondigd, maar nu al maanden op zich laat wachten.”

Wel even het hele verhaal vertellen hè @Pasi 

Over de updates is altijd open gecommuniceerd, planning updates om de 6 weken, als er in eerdere tests geen problemen mee gevonden zijn, anders kan het langer duren, om klanten niet met meer problemen op te zadelen dan er oplossingen in de update zitten.


Natuurlijk weet jij veel beter dan ik, hoe Ziggo werkt. Jij bent tenslotte al veel langer actief op deze site. :thumbsup:

M.b.t. de updates voor de Next. Volgens mij was de 4.19 AV update op 13 nov. Dat is nu ( oké morgen ) 2 maanden geleden. En inderdaad, als er geen problemen met de Next waren, dan had het allemaal geen haast. Maar er zijn genoeg bugs te verhelpen.
Dat ze niet overhaast updates moeten uitbrengen, ook daar heb je gelijk in. Echter, de Next is in feite al jaren oud ( zoals je weet werd deze al in 2016 door Virgin gebruikt ) en daarom is het schrijven van firmware/software voor dit apparaat allang geen rocket science meer. En áls de huidige firmware/software nu bom vol met opties zat, ja dan. Dan moet je natuurlijk wat meer opletten, dat een wijziging links, niet ergens iets rechts bijt. Maar heeft de Next eigenlijk wel opties?

Reputatie 6
Badge +8

Of de update van de Next, die lang geleden werd aangekondigd, maar nu al maanden op zich laat wachten.”

Wel even het hele verhaal vertellen hè @Pasi 

Over de updates is altijd open gecommuniceerd, planning updates om de 6 weken, als er in eerdere tests geen problemen mee gevonden zijn, anders kan het langer duren, om klanten niet met meer problemen op te zadelen dan er oplossingen in de update zitten.

Natuurlijk weet jij veel beter dan ik, hoe Ziggo werkt. Jij bent tenslotte al veel langer actief op deze site. :thumbsup:

M.b.t. de updates voor de Next. Volgens mij was de 4.19 AV update op 13 nov. Dat is nu ( oké morgen ) 2 maanden geleden. En inderdaad, als er geen problemen met de Next waren, dan had het allemaal geen haast. Maar er zijn genoeg bugs te verhelpen.
Dat ze niet overhaast updates moeten uitbrengen, ook daar heb je gelijk in. Echter, de Next is in feite al jaren oud ( zoals je weet werd deze al in 2016 door Virgin gebruikt ) en daarom is het schrijven van firmware/software voor dit apparaat allang geen rocket science meer. En áls de huidige firmware/software nu bom vol met opties zat, ja dan. Dan moet je natuurlijk wat meer opletten, dat een wijziging links, niet ergens iets rechts bijt. Maar heeft de Next eigenlijk wel opties?

Reputatie 6
Badge +8

...Wel even het hele verhaal vertellen hè @Pasi 

Over de updates is altijd open gecommuniceerd, planning updates om de 6 weken, als er in eerdere tests geen problemen mee gevonden zijn, anders kan het langer duren, om klanten niet met meer problemen op te zadelen dan er oplossingen in de update zitten.

Natuurlijk weet jij veel beter dan ik, hoe Ziggo werkt. Jij bent tenslotte al veel langer actief op deze site. :thumbsup:

M.b.t. de updates voor de Next. Volgens mij was de 4.19 AV update op 13 nov. Dat is nu ( oké morgen ) 2 maanden geleden. En inderdaad, als er geen problemen met de Next waren, dan had het allemaal geen haast. Maar er zijn genoeg bugs te verhelpen.
Dat ze niet overhaast updates moeten uitbrengen, ook daar heb je gelijk in. Echter, de Next is in feite al jaren oud ( zoals je weet werd deze al in 2016 door Virgin gebruikt ) en daarom is het schrijven van firmware/software voor dit apparaat allang geen rocket science meer. En áls de huidige firmware/software nu bom vol met opties zat, ja dan. Dan moet je natuurlijk wat meer opletten, dat een wijziging links, niet ergens iets rechts bijt. Maar heeft de Next eigenlijk wel opties?

Reputatie 7

Hoi allemaal, ik snap dat jullie staan te springen om een officiele update vanuit Ziggo in dezen. Ik doe mijn best om dit vandaag nog boven tafel te krijgen. 

 

Ziggo modems met een Puma chip die dus sowieso niet getroffen zijn:

  • Connectbox (Compal en Arris)
  • Connectbox Giga
  • Hitron CNGV4
  • Ubee EVW3226
Reputatie 6
Badge +8

...


Klasse Mark :thumbsup: . Kijk, zo moet het :grinning:. Een pluim van mij !

‘Wij’, de ‘techneuten’ ( of hoe je jezelf ook wil noemen ) op deze site, kunnen misschien wel zelf uitzoeken hoe, waar en wat. Maar waarom zouden we allemaal ( = dubbel ) moeten gaan zoeken, als het ook mogelijk is, dat dit centraal gedaan wordt. Tevens hebben we nu een officieel Ziggo antwoord, waar ook digibeten ( geloof me, die zijn er echt ! ) gelijk kunnen lezen of deze dreiging ook hun privacy bedreigd.

Als straks de lijst compleet is, vastpinnen als beste antwoord en je hebt de vraag en het officiële antwoord bij elkaar. Bij nieuwe vragen gewoon verwijzen naar dit artikel en klaar is Kees…. ehh Mark.

Reputatie 7

Wij hebben van Cable Haunt vernomen en hebben dit in onderzoek.

Uit de reacties op het Tweakers artikel bleek dat er Ziggo klanten al kwetsbaarheden hadden geconstateerd.

 

Ik lees daar nog niet dat iemand vatbaar is, integendeel. Waar zag je dat?

Reputatie 5
Badge +5

Deze opstelling is m.i. veel te passief.”

Alle bedrijven houden hun mond als er een lek gevonden is tot het is opgelost en dan vaak nog om niet hun kwetsbaarheden openbaar te maken, je gaat de gaten in je verdediging niet vertellen aan de vijand, ook niet achteraf om ze op ideeën te brengen.

Zelfs ethische hackers en tech bedrijven, die een lek vinden, houden een bepaalde periode hun mond, om de eigenaren van systeemsoftware, software en hardware de kans te geven om het op te lossen en om criminele hackers niet de lekken op een bordje te geven en de mogelijkheden te geven om allerlei criminele acties uit te voeren.

Als een lek niet binnen 60 dagen voor software en 6 maanden voor hardware is aangepast, dan kan men besluiten het naar buiten te brengen om de druk op te voeren om een oplossing te forceren.

 

 

Dit soort lekken worden vaak gemeld volgens responsible disclosure principes, dat lijkt hier ook zo te zijn, waarna het lek publiek gemaakt wordt. Zo kan iedereen leren van de (hopelijk opgeloste) problemen.

Uit de eerste reacties van Ziggo kan ik nog niet opmaken dat zij op de hoogte waren van dit lek voor publicatie, dus hopelijk zijn de Ziggo modems waar Broadcom chips inzitten niet kwetsbaar.

 

 

Het gaat toch alleen over kwetsbaarheid van de Router?

Ah. Nog even doorgelezen. Het is een aanval met malware, gestart van binnenuit.

First, access to the vulnerable endpoint is gained through a client on the local network, such as a browser. Secondly the vulnerable endpoint is hit with a buffer overflow attack, which gives the attacker control of the modem.


Voor de rest gaat het over Web Sockets en CORS. Dat speelt zich af in TCP/IP layers, waar het Modem geen weet van heeft. Beetje vaag verhaal. Mij is uit de uitleg niet duidelijk wat de  Modem Chipset met dit alles te maken zou kunnen hebben.

 

 

De modem firmware heeft een vulnerability die aangesproken kan worden door een slecht beveiligde standaard-feature. De feature kan aangesproken worden via WebSockets, die in tegenstelling tot andere requests niet “beschermd” kunnen worden door CORS en Same-Origin Policy. De websocket-server in de modem firmware moet zelf de origin checken van requests (browsers zetten die origin), maar dat gebeurt niet.
Wel zit er soms een username/password beveiliging op deze standaard-feature, maar die blijkt bijna altijd hetzelfde te zijn per model en ISP.

Ook is het modem kwetsbaar voor DNS rebinding attacks, dus ook normale requests waar CORS/SOP wel werkt zijn niet veilig.


Als gevolg hiervan kan een stuk evil online javascript (uit bijv. een advertentie) de exploit code uitvoeren tegen je kwetsbare lokale kabelmodem.

 

Daarmee is niet gezegd dat dit probleem niet iets heel vervelends zou kunnen zijn. De eerste kwestie is: hoe voorkom je dat de boel vanuit je LAN wordt opgestart. Daar lees ik niks over. Is een fatsoenlijke malware protectie en  het niet klikken op verdachte links in Emails of op een Web Page, zoals gebruikelijk, niet voldoende ter voorkoming van dit -en een hoop ander- onheil?

 

Dat is sowieso een goed idee, maar voorkomt niet dat je toch elke dag een boel javascript code uitvoert. Er hoeft maar 1 evil advertentie doorheen te glippen om voor altijd een gehackt modem te hebben.

Reageer