Miljoenen kabelmodems getroffen door beveiligingsprobleem

Miljoenen kabelmodems wereldwijd zijn kwetsbaar voor een beveiligingslek in de spectrum analyzer van Broadcom. Het lek maakt het mogelijk op afstand code uit te voeren op de modem. Het is onduidelijk of ook Nederlandse providers zijn getroffen.

De kwetsbaarheid wordt 'Cable Haunt' genoemd en zit in de spectrum analyzer van Broadcom die in getroffen kabelmodems wordt gebruikt. Dit is een meetinstrument waarmee het frequentie-spectrum van een signaal kan worden weergegeven. Providers gebruiken de hardware ook om op afstand modems te kunnen uitlezen.

DNS rebinding

Beveiligingsonderzoekers melden echter dat de spectrum analyzer geen bescherming biedt tegen DNS rebinding attacks. Bij een dergelijke aanval wordt het IP-adres waaraan een domeinnaam is gekoppeld gewijzigd. Ook worden naar verluid standaard inloggegevens gebruikt, die gebruikers niet verplicht hoeven te wijzen. Ook bevat de firmware een kwetsbaarheid. Deze combinatie maakt het mogelijk op afstand code uit te voeren op getroffen modems.

Om de aanval uit te voeren moeten aanvallers via het LAN-netwerk toegang verkrijgen tot de modem. Om modems op afstand uit te voeren kunnen aanvallers gebruikers echter ook naar een speciaal geprepareerde webpagina lokken. Zodra zij toegang hebben tot de modem kan via een buffer overflow-aanval code worden uitgevoerd op modems. Dit maakt het volgens de onderzoekers onder meer mogelijk Man-in-the-Middle aanvallen op te zetten. Aanvallers plaatsen zich hierbij tussen gebruikers en bijvoorbeeld een server, met als doel netwerkverkeer te onderscheppen.

Een groot aantal kabelmodems is kwetsbaar voor het probleem. De onderzoekers hebben een lijst met kwetsbare modems gepubliceerd, maar wijzen erop dat vermoedelijk ook andere modems kwetsbaar zijn. Tot nu toe hebben de Deense providers TDC en Stofa evenals de Noorse providers Get AS en Telia Norway bevestigt dat hun modems getroffen zijn.