Vastattu

Kaapelimodeemeissa haavoittuvuus: Arris router vulnerability could lead to complete takeover

  • 26 February 2023
  • 56 kommenttia
  • 4081 katselukerrat

Käyttäjätaso 2
Kunniamerkki +3

Elisankin käyttämistä Arris-kaapelimodeemeista on löydetty haavoittuvuus jolla voidaan kaapata kaapelimodeemi ulkopuolisen hallintaan. Laitteet ovat End-of-Life eli valmistajalta ei enää saa softapäivityksiä.

https://www.malwarebytes.com/blog/news/2023/02/arris-vulnerability-found-in-commonly-used-router-could-result-in-complete-take-over

Itsellänikin näyttäisi olevan linkissä mainittu Arris TG2492 juuri tuolla haavoittuvalla 9.1.103 -firmware-versiolla. Mahtaakohan Elisa aloittaa jotain toimenpiteitä haavoittuvuuden tukkimiseen?

icon

Vastauksen tähän kysymykseen jakoi ilponen 25 October 2023, 14:43

Katso alkuperäinen viesti

56 kommenttia

Käyttäjätaso 6
Kunniamerkki +12

Moikka!

 

Kyselimme asiasta tarkemmin tietoturvapuoleltamme ja saatiin vastaukseksi, että mikäli Arris on saanut ohjelmistoversiopäivityksen 9.1.103FL niin modeemi on tuon kyseisen haavoittuvuuden osalta turvassa.

Käyttäjätaso 2
Kunniamerkki +3

Moikka!

 

Kyselimme asiasta tarkemmin tietoturvapuoleltamme ja saatiin vastaukseksi, että mikäli Arris on saanut ohjelmistoversiopäivityksen 9.1.103FL niin modeemi on tuon kyseisen haavoittuvuuden osalta turvassa.

Näyttäisi olevan SW_REV: 9.1.103FF.EURO eli ei täsmää tuohon mainitsemaasi firmikseen.

 

Käyttäjätaso 3
Kunniamerkki +5

Moikka!

 

Kyselimme asiasta tarkemmin tietoturvapuoleltamme ja saatiin vastaukseksi, että mikäli Arris on saanut ohjelmistoversiopäivityksen 9.1.103FL niin modeemi on tuon kyseisen haavoittuvuuden osalta turvassa.

Näyttäisi olevan SW_REV: 9.1.103FF.EURO eli ei täsmää tuohon mainitsemaasi firmikseen.

 

 

Sama täällä. Laittakaas päivittäen.

 

Käyttäjätaso 5
Kunniamerkki +7

9.1.103FF on “turvassa”. Oliko tuo 9.1.103FL joku kummajainen missä oli joku vika, ja heti perään ruvettiin ajamaan 9.1.103FF? Tuosta FL versiosta kun ei ole mainintaa edes elisan sivuilla. Jotenkin hämärä muistikuva että jotain firmwarea ruvettiin ajelemaan sisään ja vedettiin heti perään uutta päivitystä.

 

Mitä Arris tahtoo sanoa: bugia ei ole korjattu, mutta turvassa ollaan, sillä jostain firmwaresta eteenpäin laitteen kirjautumistiedot vaihtui jostain oletus admin/admin yhdistelmästä WPA-PSK avaimeksi, eikä näin ollen ole helposti arvattavissa. Tietoturva-aukko vaatii sisäänkirjautumisen, eli vanhemmatkin firmwaret ovat “turvassa” mikäli käyttäjätunnus/salasana on vaihdettu, eikä kirjautumistiedot ole väärien tahojen hallussa.

Käyttäjätaso 1
Kunniamerkki

Jaa..itsellä on 9.1.103GEM9 !! Mikähän tää nyt sit on..turvallinen vai ei??

Käyttäjätaso 5
Kunniamerkki +7

Jaa..itsellä on 9.1.103GEM9 !! Mikähän tää nyt sit on..turvallinen vai ei??

 

Niinkun yllä kirjoitin, niin kaikki firmwaret on “turvallisia”, mikäli kirjautumistiedot on vaihdettu pois oletuksista, eikä uudet ole helposti arvattavissa tai kenenkään pahantekijän tiedossa.

Käyttäjätaso 2
Kunniamerkki +3

Jaa..itsellä on 9.1.103GEM9 !! Mikähän tää nyt sit on..turvallinen vai ei??

Lainaus suoraan CVE:stä: “Arris firmware through 9.1.103GEM9 allow Remote Code Execution (RCE) via the ping utility feature.” Eli tuossakin firmiksessä on haavoittuvuus.

Uudetkaan firmwaret eivät ole siis “turvallisia”. Se että kirjautumistunnarit on uudemmissa firmiksissä vaihdettu muuttuviksi ei poista haavaa kokonaan vaan hankaloittaa haavan hyödyntämistä ja luo vaan yhden “turvallisuus”kerroksen tuohon väliin. Mikään ei estä hakkereita arvailemasta tunnareita niin kauan että onnistuvat oikeat löytämään, toki siihen kestää aikaa eikä tavallinen kuluttaja-asiakas ole välttämättä kovin kiinnostava kohde.

Eli kuten tuolla mainitaankin: “As for mitigation, an easy and effective way is to simply use a strong password, but still this does not stop an attacker from eavesdropping on the unprotected traffic containing the password or even manipulating the browser to gain access.”

Käyttäjätaso 1
Kunniamerkki

No niinpä tietysti..mitähän elisa meinaa tehdä asian suhteen..?  Onko tuo tietoturva puolen ilmoitus pelkkää sanahelinää..uutta modeemia asiakkaille tai jotain..!  Jos laite on end of life..niin kummakun niitä ei päivitetä tai lähetetä uutta purkkia! 

Käyttäjätaso 7
Kunniamerkki +15

Tyhmä kysymys: Jos kaapelimodeemi on sillatussa tilassa ja siihen kytketty erillinen reititin, niin pääseekö vahinkoa tapahtumaan vaikka joku hakkeroisi kaapelimodeemin?

Operaattorin “hys hys, ei ole mitään riskejä”-vastausta ei tarvita

Käyttäjätaso 7
Kunniamerkki +21

Jos kaapelimodeemi on sillatussa tilassa ja siihen kytketty erillinen reititin, niin pääseekö vahinkoa tapahtumaan vaikka joku hakkeroisi kaapelimodeemin?

Kyllä, ellei erillinen reititin käytä täysin suojattuja yhteyksiä. Nimipalveluthan ovat tavallisesti suojaamattomia. Jos voit vaihtaa reitittimeesi käyttöön DoT- tai DoH-protokollan nimipalveluille, olet itse suojassa kaapelimodeemilta.

Tämä ei kuitenkaan estä kaapattua kaapelimodeemia häritsemästä muita internetin käyttäijiä osallistumalla mm. roskapostin lähettämiseen ja palvelunestohyökkäyksiin.

Sillattua tilaa käytettäessä olisikin hyvä estää kaapelimodeemia olemasta yhteydessä internettiin. Vaihda kaapelimodeemin wan-asetuksiin dhcp:n tilalle kiinteä ip-osoite, joka ei toimi. Esimerkiksi 172.31.255.254, maski 255.255.255.252, yhdyskäytävä 172.31.255.253.

Käyttäjätaso 5
Kunniamerkki +7

Jos kaapelimodeemi on sillatussa tilassa ja siihen kytketty erillinen reititin, niin pääseekö vahinkoa tapahtumaan vaikka joku hakkeroisi kaapelimodeemin?

Kyllä, ellei erillinen reititin käytä täysin suojattuja yhteyksiä. Nimipalveluthan ovat tavallisesti suojaamattomia. Jos voit vaihtaa reitittimeesi käyttöön DoT- tai DoH-protokollan nimipalveluille, olet itse suojassa kaapelimodeemilta.

Tämä ei kuitenkaan estä kaapattua kaapelimodeemia häritsemästä muita internetin käyttäijiä osallistumalla mm. roskapostin lähettämiseen ja palvelunestohyökkäyksiin.

Sillattua tilaa käytettäessä olisikin hyvä estää kaapelimodeemia olemasta yhteydessä internettiin. Vaihda kaapelimodeemin wan-asetuksiin dhcp:n tilalle kiinteä ip-osoite, joka ei toimi. Esimerkiksi 172.31.255.254, maski 255.255.255.252, yhdyskäytävä 172.31.255.253.

Lisäksi kaapelimodeemiin pääsy olisi hyvä estää myös lähiverkosta käsin. Erillisen reitittimen palomuurilta voi sulkea lähiverkosta päin pääsyn osoitteeseen 192.168.100.1 niin sitten voi rauhallisin mielin jatkaa elämää välittämättä olemassaolevasta turvallisuusaukosta. Todennäköisin hyökkäys kuitenkin tulee ns. “sisältä päin”.

Käyttäjätaso 6
Kunniamerkki +13

No niinpä tietysti..mitähän elisa meinaa tehdä asian suhteen..?  Onko tuo tietoturva puolen ilmoitus pelkkää sanahelinää..uutta modeemia asiakkaille tai jotain..!  Jos laite on end of life..niin kummakun niitä ei päivitetä tai lähetetä uutta purkkia! 

Laitoin tästä vielä kyselyä, että saadaan varmistus asiaan. 🙂

Käyttäjätaso 7
Kunniamerkki +15

Jos kaapelimodeemi on sillatussa tilassa ja siihen kytketty erillinen reititin, niin pääseekö vahinkoa tapahtumaan vaikka joku hakkeroisi kaapelimodeemin?

Kyllä, ellei erillinen reititin käytä täysin suojattuja yhteyksiä. Nimipalveluthan ovat tavallisesti suojaamattomia. Jos voit vaihtaa reitittimeesi käyttöön DoT- tai DoH-protokollan nimipalveluille, olet itse suojassa kaapelimodeemilta.

Tämä ei kuitenkaan estä kaapattua kaapelimodeemia häritsemästä muita internetin käyttäijiä osallistumalla mm. roskapostin lähettämiseen ja palvelunestohyökkäyksiin.

Sillattua tilaa käytettäessä olisikin hyvä estää kaapelimodeemia olemasta yhteydessä internettiin. Vaihda kaapelimodeemin wan-asetuksiin dhcp:n tilalle kiinteä ip-osoite, joka ei toimi. Esimerkiksi 172.31.255.254, maski 255.255.255.252, yhdyskäytävä 172.31.255.253.

Lisäksi kaapelimodeemiin pääsy olisi hyvä estää myös lähiverkosta käsin. Erillisen reitittimen palomuurilta voi sulkea lähiverkosta päin pääsyn osoitteeseen 192.168.100.1 niin sitten voi rauhallisin mielin jatkaa elämää välittämättä olemassaolevasta turvallisuusaukosta. Todennäköisin hyökkäys kuitenkin tulee ns. “sisältä päin”.

 

Itselläni on wanha Ciscon kaapelimodeemi, jota tämä haavoittuvuus ei koske. Mutta varmaan kaikkea muuta kivaa löytyy, kun viimeisin päivitys on niinkin tuore kuin vuodelta 2019… 

Modeemissa ei pääse muuttamaan IP-osoitetta siltaavassa tilassa, eikä pääse kyllä paljon muutakaan muuttamaan.

Reitittimessä näytti olevan DoH automaattitilassa ja DoT löytyy myös, mutta nyt pois päältä.

Lisäksi reitittimessä (Asus on valmistaja) on sisäänleivottuna tietoturvaominaisuuksia, kuten esim “saastuneen laitteen” tunnistus. 

Taloyhtiömme on tarjottu kuitua ja nämä haavoittuvat kaapelimodeemit on yksi hyvä syy siirtyä kuituun monen muunkin syyn lisäksi.

Käyttäjätaso 1
Kunniamerkki

No niinpä tietysti..mitähän elisa meinaa tehdä asian suhteen..?  Onko tuo tietoturva puolen ilmoitus pelkkää sanahelinää..uutta modeemia asiakkaille tai jotain..!  Jos laite on end of life..niin kummakun niitä ei päivitetä tai lähetetä uutta purkkia! 

Laitoin tästä vielä kyselyä, että saadaan varmistus asiaan. 🙂

Onko mitään uutta raportoitavaa??

Käyttäjätaso 7
Kunniamerkki +21

Selvityksessä on vielä, ilmoitamme kun on kerrottavaa!

Käyttäjätaso 1
Kunniamerkki

Olisi varsin hyvä aika Elisalla uusia myymäänsä kaapelimodeemia kun kerran ei laite ole enää edes tuettu valmistajan suunnalta. Muutenkin kehitys ajanut ohi tuosta jo aikoja sitten.

Käyttäjätaso 5
Kunniamerkki +7

Laitekantaa jos rupeaa uusimaan, niin sitä kannattaisi lähteä tekemään laitteilla, joissa on tuki seuraavan sukupolven DOCSIS 3.1 tai DOCSIS 4 tekniikoille. Samoihin aikoihin voisi sitten CMTS päässä päivittää laiteet tukemaan uudempaa sukupolvea. Ei tällä hetkellä mitään järkeä tunkea EuroDOCSIS 3.0 kamoja enää asiakkaille.

Asiakkailla taitaa melko hyvin jo olla noita 3.1 modeemeita omasta takaa, niin olisi varmaan fiksua alkaa uusimaan operaattorin päässäkin laitteita.

Käyttäjätaso 1
Kunniamerkki

Itse tässä funtsaillut tätä Avm Fritzbox-6690 kaapelimodeemia.  Mahtaako toimia elisan verkossa? Tyyris hän toi on mutta taitaa olla parasta mitä markkinoilla on..

Käyttäjätaso 1
Kunniamerkki

Aika hiljaista on..eteneekö asia?

Käyttäjätaso 3
Kunniamerkki +6

Aika hiljaista on..eteneekö asia?

Itse olen 6v käyttänyt FrizBox kaapelimodeemeja Elisan verkossa ja kaikki on toiminut loistavasti, joten eiköhän tuokin toimi. Huom. palautusoikeus on.

Käyttäjätaso 1
Kunniamerkki

Aika hiljaista on..eteneekö asia?

Itse olen 6v käyttänyt FrizBox kaapelimodeemeja Elisan verkossa ja kaikki on toiminut loistavasti, joten eiköhän tuokin toimi. Huom. palautusoikeus on.

Juu..kiitos tästä! Lähinnä ajattelin tuota arriksen boksin tilannetta,

mutta en taida jaksaa odotella.. joten fritzbox here i come!!😉

Käyttäjätaso 5
Kunniamerkki +7

Aika hiljaista on..eteneekö asia?

Itse olen 6v käyttänyt FrizBox kaapelimodeemeja Elisan verkossa ja kaikki on toiminut loistavasti, joten eiköhän tuokin toimi. Huom. palautusoikeus on.

Juu..kiitos tästä! Lähinnä ajattelin tuota arriksen boksin tilannetta,

mutta en taida jaksaa odotella.. joten fritzbox here i come!!😉

Jos Arris toimii, eikä siinä ole muuta vikaa käytössäsi kun tuo tietoturva-aukko, jonka hyödyntäminen vaatii 1) yhteyden laitteellesi ja 2) sisäänkirjautumisen laitteelle, joka on jo niin epätodennäköinen yhtälö, niin eipä tuo fritzbox hintansa väärti tule olemaan.

Käyttäjätaso 1
Kunniamerkki

Arriksessa ei oo QoSia..tai sit oon puusilmä! Fritzboxissa pystyy priorisoimaan netin esim..konsolille jos pelailee fps-pelejä! Saa sivistää jos oon ihan ulapalla..🤔😃

Käyttäjätaso 5
Kunniamerkki +7

Arriksessa ei oo QoSia..tai sit oon puusilmä! Fritzboxissa pystyy priorisoimaan netin esim..konsolille jos pelailee fps-pelejä! Saa sivistää jos oon ihan ulapalla..🤔😃

Arris sillaksi ja erillinen reititin perään, jos lisäominaisuuksia kaipailee. Hyviä reitittimiä saa parempia ja paljon halvemmalla kun fritzboxin. 😉 Ja saa jatkettua laitteen käyttöä, mikäli myöhemmin ei ole kaapeliyhteyttä.

Käyttäjätaso 1
Kunniamerkki

Arriksessa ei oo QoSia..tai sit oon puusilmä! Fritzboxissa pystyy priorisoimaan netin esim..konsolille jos pelailee fps-pelejä! Saa sivistää jos oon ihan ulapalla..🤔😃

Arris sillaksi ja erillinen reititin perään, jos lisäominaisuuksia kaipailee. Hyviä reitittimiä saa parempia ja paljon halvemmalla kun fritzboxin. 😉 Ja saa jatkettua laitteen käyttöä, mikäli myöhemmin ei ole kaapeliyhteyttä.

Vähän joo lukenu noista reitittimistä..oisko sulla  heittää suositusta mikä olis hyvä! En oo mikään tech wizard joten olen kuulolla.. :)

Osallistu keskusteluun