Nieuw beveiligingslek in Ziggo connectbox txt password

dbr

Forum Gebruiker
Berichten
1
Internet
  1. Ziggo
Digitale TV
  1. Ziggo
The Administration page on Connect Box EuroDOCSIS 3.0 Voice Gateway CH7465LG-NCIP-6.12.18.25-2p6-NOSH devices accepts a cleartext password in a POST request on port 80, as demonstrated by the Password field to the xml/setter.xml URI.
CVE-2019-19967
 
Ik zou dit geen lek willen noemen maar slechte beveiliging door ontbreken van HTTPS op de admin interface.

Is alleen te misbruiken als:
  • Een hacker zit op je interne netwerk
  • Jij als slachtoffer het wachtwoord wijzigt
  • Op dat moment dient de hacker met wireshark je interne verkeer te capturen
Dit geldt eigenlijk voor alle apparaten die nog via HTTP werken.
Neemt niet weg dat het goed zou zijn als de web interface heel snel beter beveiligd zou worden.
 
Terug
Bovenaan