Beantwoord

Important security bugs upnp + javascript

  • 22 November 2021
  • 2 reacties
  • 179 keer bekeken
T
Rank
  • TKN
  • Nieuwkomer
  • 0 reacties

Mijn verplichte downgrade van Experiabox v8 (Arcadyan VGV7519) naar KPN Box 12 (Sagemcom Fast 5359) heeft wat onaangename verrassingen  opgeleverd want ik grijp behoorlijk mis naar het volgende:

Attack detection logs: niet aanwezig 

Diagnostic tools: niet aanwezig 

NAPT tabel: niet aanwezig

Firewall Configuration & Default Policy: niet aanwezig

 

Dat de ergonomische interface plaats heeft moeten maken voor een ietwat onoverzichtelijke en onhandige ziet-er-leuk-uit-voor-de-kinderen-interface vind ik niet zo erg, maar waar ik van heb lopen stijgeren is de laksheid met betrekking tot beveiliging.

Ik ben echt een beetje boos.

 

Dit al een tijd geleden ingesteld:

Maar tot mijn verdriet leverde een uPnP scan over mijn netwerk dit op:

[+] Discovering UPnP locations
[+] Discovery complete
[+] 1 locations found:
    -> http://192.168.2.254:49152/66777046/gatedesc0d.xml
[+] Loading http://192.168.2.254:49152/66777046/gatedesc0d.xml...
    -> Server String: Linux/4.1.52-5.02L.07, UPnP/1.0, Portable SDK for UPnP devices/1.6.18
    ==== XML Attributes ===
    -> Device Type: urn:dslforum-org:device:InternetGatewayDevice:1
    -> Friendly Name: kpn Box 12
    -> Manufacturer: Sagemcom
    -> Manufacturer URL: https://www.sagemcom.com
    -> Model Description: ExperiaBox v12 IAD Device
    -> Model Name: SagemcomFast5359_KPN
    -> Model Number: 1.0

IGD staat dus aan !!!

Waarom liegt mijn KPN Box 12 hierover door doodleuk te melden dat het uit staat ??

Slechts één rogue applicatie is nu voldoende om de firewall tot zwitserse gatenkaas te reduceren, want het IGD protocol is allesbehalve waterdicht. Serieus , waar heb ik een firewall voor ?

 

Verder zag ik in de webinterface, waar dus ook de firewall mee wordt ingesteld, deze regel staan:

<script type="text/javascript" async="" src="https://apis.google.com/js/platform.js"></script>

Het extern hosten van javascript is niet zonder security en privacy problemen dus eigenlijk geheel niet toelaatbaar voor een webinterface die beveiliging van een netwerk regelt.

Ik heb ondertussen begrepen dat platform.js geen enkele essentiele functie vervult.
Ik neem aan dat ik de URL zonder problemen kan blokkeren ?
Zonder platform.js lijkt de interface gewoon te werken.

Graag zou ik een antwoord hebben op de volgende vragen:

  1. Waarom zijn er zulke domme beginnersfouten gemaakt in de beveiliging van deze box ?
  2. Wat kan de KPN doen om deze fouten te verhelpen ?
  3. Wat kan ikzelf doen om IGD echt uit te zetten ?
  4. Heb ik platform.js echt nodig om bij alle functies van de box te kunnen of is het alleen voor eyecandy ?
  5. Wat zijn de default policies voor respectievelijk de prerouting, input, forward, output  en postrouting chains van de firewall ? 

 

Admin: topic verplaatst naar juiste board

icon

Beste antwoord door Erwin van KPN 27 November 2021, 10:37

Bekijk origineel
Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.

2 reacties

Erwin van KPN
Rank

Hoi @TKN . Welkom op het forum.

Fijn dat je je bevindingen hier deelt. Ik heb ze doorgestuurd naar development.  Mocht er een beveiliging issue zijn zal dat serieus opgepakt worden. Zodra ik meer weet, laat ik het jou weten.

Blij met een antwoord? Geef een like! Is een bericht het beste antwoord op je vraag? Markeer het dan als oplossing.
M
Rank

Is hier nog ooit reactie op gekomen?

Ben ook benieuwd of er kans is dat de webui een update krijgt met meer functies en mogelijkheden. Zoals je zegt zijn bepaalde zaken gewoon weggelaten. In mijn geval zou ik upnp best aan willen zetten maar dan wel met veel meer controle. Heb het aangezet maar kan niet kiezen welke regel ik wel of niet accepteer (weet overigens niet of dit bij andere routers wel kan). 

Dan maar specifieke port forwarding.

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Forumvoorwaarden