• Welkom op het onafhankelijke Ziggo Gebruikersforum. Een forum voor en door gebruikers van Ziggo.
    Registreer je nu gratis om zelf berichten te kunnen plaatsen!

Ernstig beveiligingslek in Connect Box bij Unitymedia


Johnny54

Moderator
Lid geworden
18 jan 2003
Berichten
19.073
Ziggo
Alles in 1
Gebied
fUPC
In de Connect Boxen van Unitymedia is door een onderzoeker een ernstig beveiligingslek gevonden.
Bij de functies ping en trace in de box word de invoer niet goed gefilterd en kan men toegang krijgen tot het Operating Systeem (Linux) van de Connect Box.
Unitymedia rolt al een update uit die het probleem moet oplossen.

Ik ben benieuwd of dit lek ook in de Connect Boxen bij Ziggo zit en zo ja wanneer er dan een firmware update komen.


 

piente

Product Tester
Lid geworden
6 okt 2008
Berichten
6.892
Ziggo
Alles in 1
Gebied
fUPC
Ik zie dat er op de Ziggo connector een nieuwere versie staat. Wel blijft de vraag of dit lek al door Ziggo is opgemerkt

@Webcare Ziggo Wat is jullie reactie in deze?

Onderstaand is de huidige versie

Conform standaard specificaties:DOCSIS 3.0
Hardware versie:5.01
Software versie:CH7465LG-NCIP-6.12.18.25-2p5-NOSH
MAC-adres:AC:22:22:**:**:**
Serienummer Connect Box:
Beschikbaarheid:11day(s)10h:59m:32s
Netwerk toegang:Toegang tot internet

En dit lek gaat bij deze versie.

Connect Box CH7465LG: Unauthenticated Remote Code Execution (CVE-2019-13025)

October 1, 2019

Introduction
The following work was conducted on the Connect Box CH7465LG with the firmware version CH7465LG-NCIP-6.12.18.24-5p8-NOSH running Linux 3.12.14 on a Intel XScale CPU (armv6b). The device was supplied to me in February 2019 by Unitymediaas the default cable modem for new customers.
 

densoft

Forum Gebruiker
Lid geworden
3 jan 2012
Berichten
395
In de Connect Boxen van Unitymedia is door een onderzoeker een ernstig beveiligingslek gevonden.
Bij de functies ping en trace in de box word de invoer niet goed gefilterd en kan men toegang krijgen tot het Operating Systeem (Linux) van de Connect Box.
Unitymedia rolt al een update uit die het probleem moet oplossen.

Ik ben benieuwd of dit lek ook in de Connect Boxen bij Ziggo zit en zo ja wanneer er dan een firmware update komen.


Deze lek zit er al een tijdje. De patch kun je blokkeren om de automatische updates uit te schakelen op de modem. Tevens is het ook mogelijk om het .bin config bestandje aan te passen waar je maximale snelheid staat geregistreerd.
 

CreativeS

Product Tester
Lid geworden
1 jun 2011
Berichten
27.773
Ziggo
Internet & Televisie
Gebied
fUPC
Het antwoord staat in het artikel op de eerste site:

Gegenüber heise Security bestätigte Unitymedia am Mittwochnachmittag die Sicherheitslücke. Demnach wird sie durch das Firmware-Update mit der sperrigen Bezeichnung CH7465LG-NCIP-6.12.18.25-2p6-NOSH geschlossen.
Het gat wordt/is dus gedicht met CH7465LG-NCIP-6.12.18.25-2p6-NOSH.
Zal vast wel een update komen. Duidelijk verhaal, lekker kort.

En hoe zit het dan met de Arris?

Connect Box informatie

De onderstaande informatie geeft de Connect Box status weer.

Conform standaard specificaties: DOCSIS 3.0
Hardware versie: 10
Software versie: 9.1.1802.613
MAC-adres: 18:35:**:**:**:**
Serienummer Connect Box: AAAP********
Beschikbaarheid: 6 days 18h:3m:34s
Netwerk toegang: Toegang tot internet
 

mokum64

Forum Gebruiker
Lid geworden
24 jan 2006
Berichten
1.910
Ziggo
Alles in 1
Gebied
fUPC
Op Totaal TV staat een artikel waarin vermeld wordt dat Ziggo heeft bevestigd dat er een update komt:

 
  • Leuk
Waarderingen: ajb