Kaapelimodeemeissa haavoittuvuus: Arris router vulnerability could lead to complete takeover

Paha sanoa, kun en tiedä mitä ominaisuuksia laitteelta kaipaat. Pelkäksi reitittimeksi EdgeRouter X lienee ihan hyvä purkki. Siinä tosiaan ei ole mitään pillejä ja viheltimiä kuten WLAN ym. Ja vaatinee vähän osaamistakin että sen saa pelaamaan, ei ole ihan plug’n’pray. Tuohon hintaluokkaan saattaa jo saada jotain perus vekottimiakin mistä löytyy sitten kaikki ominaisuudet yhdestä purnukasta, vakauden/nopeuden/ym. kustannuksella tietysti 😂

Toki jos ei päälle 200 euroa tunnu kovin pahalta yhdestä laitteesta joka tekee kaiken, niin mikäs siinä sitten. Pelkkä QoS tuskin nyt on hyvä syy vaihtaa toimivaa Arrista pois ylipäätänsä, ei tuo QoSkaan ihmeisiin pysty. Mulla on ollut yksi fritzbox (6660) kokeilussa eikä jäänyt hyvä maku suuhun purkista, niin en tule ikinä noita fritzboxeja suosittelemaan.

Tämä on edelleen laitevalmistajan kanssa selvityksessä. Pahoittelumme vastausviiveestä!

Että tällainen. Itselläni täyttäisi olevan juurikin tuo FF.EURO-firmis, eli siinä mielessä turvassa, mutta siis jos nyt oikein käsitän, niin tässä keissi on se, että joka tapauksessa jotta tuota haavoittuvuutta pystyy hyödyntämään, pitää tietää modeemin hallintakäyttöliittymän käyttäjätunnus ja salasana?

Joten sanoisin, että jos joku ne saa tietoonsa, niin se on ns. game over joka tapauksessa oli haavoittuvuuksia taikka ei, kun pääsee vapaasti roplaamaan modeemin asetuksia. Onko tässä nyt kyseessä enemmänkin myrsky vesilasissa? Ulkoverkostahan hallintakäliin ei pitäisi edes päästä kiinni.

Toisaalta itseäni kyllä kiinostaisi päästä kiinni ton modeemin shelliin ihan vaan mielenkiinnosta… 😉 Että siinä mielessä “harmi”, että sattuu olemaan paikattu firmisversio ajossa.

Ihan samaa olen miettinyt, mutten raaskinut siitä tänne julkisesti kirjoittaa. Onhan sulla oman laitteesi login-tiedot hallussasi, ei muuta kun exploittia ajamaan. 😉

Ostin kyseisen modeemin käytettynä, olenko turvassa?

Salasana vaihdettu, admin-tunnusta ei näytä voivan vaihtaa vai voiko.

Pelkästään sillä, että modeemissa on palomuuri päällä, estää ulkoa päin tulevat uhat. Se että on salasana vaihdettu, estää myös sisältä päin. Eli voisi sanoa että kyllä olet turvassa, mikäli salasana ei ole kenenkään sellaisen tahon hallussa joka voisi lähiverkostasi päin tuota reikää hyödyntää.

Pientä päivitystä: Alustavien tietojen mukaan tietoturvapäivitystä on tulossa mahdollisesti vielä huhtikuun aikana.

Mikäs tilanne päivityksessä, nyt on jo toukokuun puoliväli?

Itsellä on 9.1.103GE4.EURO, mutta missään ei ole changelogia firmiksesta?

9.1.103FF.EURO näyttäisi minulla olevan..

Uusi ohjelmistoversio tietoturvakorjauksella on Elisalla hyväksyntätestauksessa ja päivityksen jakelu aloitetaan, kun testaukset on valmiina.

Onko tästä uudesta ohjelmistoversiosta mitään lisätietoa? Onko se jo jakelussa ja mikä ohjelmistoversion tunnus on?

Ei ole valitettavasti uutta tiedotettavaa, mutta tulossa edelleen on! Mukava saada siut mukaan OmaYhteisöön @Tappifilu! 🔥

Nostellaas tätä taas ja kysäistään että mikäs tuon päivityksen status on? Itselläni ei ainakaan ole päivityksiä näkynyt omassa boksissa.

Tästä on nyt 4 kuukautta… aika pitkä aika ilman tietoturvakorjausta.

Sattuipas tämä aihe olemaan sopivasti tässä hollilla, kun asia on nyt muutenkin pinnalla:

YLE: https://yle.fi/a/74-20054897

IL: https://www.iltalehti.fi/digiuutiset/a/7b80abaa-feb4-4b66-8b41-653225c7495b

Vähän ohi ketjun aiheen silti menee, jos kysyn, että miten noiden Elisan toimittamien laitteiden kanssa, joihin ei itse pysty edes mitään päivityksiä asentamaan, kuten esimerkiksi ketjun aiheena oleva Arris. Onko Elisa valmis tukemaan laitteita maailman tappiin asti? Ja jos ei ole, niin missä on kerrottu, kauanko Elisa laitetta tukee? Tuen loppuminenhan tarkoittaa käytännössä sitä, että asiakkaan on pakko hankkia uusi omalla kustannuksellaan.

Ei taida saada tuohon purkkiin enää päivityksiä kun taas on kuukausi kulunut. Ja viimeksi tänään taas oli uutisissa että pitäisi huolehtia modeemien päivityksistä.

Näyttäisi ainakin omassa Arriksessa olevan wanhaa firmistä sisällä kun firmiksen build date on vuosien takaa:

Ja tämähän se on operaattorisoftien pahin puute , että ei edes kriittisiä tietoturvapäivityksiä  saada aikaiseksi järjellisessä ajassa.

Minun modeemivalmistaja kyllä toimittaa paikkauksen parissa viikossa , jos heille reiän raportoin.

Vajaa kuukausi tätä vuotta 😉 joten tuskin ehtii päivitys tämän tai ensi vuodenkaan aikana.

Arvioitu uuden modeemin ostoaika ( EI ELISALTA ) 2 vuoden päästä  📻 👉 siitä syystä että arris pätkii yhteyttä välillä.

Olisi tainnut taas olla Elisalta helpompi homma etsiä joku tietoturvaltaan ajantasalla oleva laite, testata että se toimii Elisan verkossa oikein ja lähettää uudet purkit haavoittuvien laitteiden tilalle. Tässä 9kk aikana tuo olisi saattanut olla hieman nopeampi ja tehokkaampi tapa kuin lähteä End-of-Life -laitteille jotenkin kehittelemään uutta firmistä.

Ihan hirveästi en pidättelisi hengitystä tuon firmispäivityksen suhteen...

Eipä taida keritä päivitys tälle vuodelle, vuotta on jäljellä 5 kokonaista päivää ja niistäkin viikonloppu vie pari päivää...

Nyt kun vuosi on vaihtunut niin toivottavasti päivitys tulee tämän vuoden aikana.😄

Toivossa on hyvä elää, sanoi lapamato :D

“On selvityksessä”… “On tulossa”…. “Kohta”…. 😒 = Ei ole, ei tule, ehkä joskus….