Nieuw beveiligingslek in Ziggo connectbox txt password


dbr

Forum Gebruiker
Lid geworden
31 dec 2019
Berichten
1
Ziggo
Alles in 1
Gebied
fUPC
The Administration page on Connect Box EuroDOCSIS 3.0 Voice Gateway CH7465LG-NCIP-6.12.18.25-2p6-NOSH devices accepts a cleartext password in a POST request on port 80, as demonstrated by the Password field to the xml/setter.xml URI.
CVE-2019-19967
 

René

Moderator
Lid geworden
13 okt 2001
Berichten
7.340
Ziggo
Internet & Televisie
Gebied
fUPC
Ik zou dit geen lek willen noemen maar slechte beveiliging door ontbreken van HTTPS op de admin interface.

Is alleen te misbruiken als:
  • Een hacker zit op je interne netwerk
  • Jij als slachtoffer het wachtwoord wijzigt
  • Op dat moment dient de hacker met wireshark je interne verkeer te capturen
Dit geldt eigenlijk voor alle apparaten die nog via HTTP werken.
Neemt niet weg dat het goed zou zijn als de web interface heel snel beter beveiligd zou worden.