Sikkerhedsproblemer hos Eniig Fiber: Forskelle mellem versioner

Fra PerMejdal
Spring til navigation Spring til søgning
No edit summary
No edit summary
Linje 7: Linje 7:
* Kundenummeret var genbrugt som WiFi navn, og WiFi koden var genbrugt til login i selvbetjening.
* Kundenummeret var genbrugt som WiFi navn, og WiFi koden var genbrugt til login i selvbetjening.
* Du kunne via selvbetjenings-hjemmeside få koden til WiFi/selvbetjening ved at kende WiFi navn og adresse.
* Du kunne via selvbetjenings-hjemmeside få koden til WiFi/selvbetjening ved at kende WiFi navn og adresse.
* Der var en fejl der gjorde det muligt at blive root fra konsol og webinterface.
'''Problemer der ikke er løst'''
* Default koder til webinterface og GPON er ikke ændret. Koden til konsol er den samme på alle bokse.
* Kundenummeret er genbrugt som WiFi navn, og WiFi koden er genbrugt til login i selvbetjening.
* Der var en fejl der gjorde det muligt at blive root fra konsol og webinterface.
* Der var en fejl der gjorde det muligt at blive root fra konsol og webinterface.


Versionen fra 25. dec. 2018, 09:52

I 2017 blev der fundet en række sikkerheds-problemer i fiberboks-opsætningen fra Eniig Fiber (de hed Bredbånd Nord på tidspunktet). Problemerne blev reporteret til Eniig igennem en journalist. De fleste af fejlene blev rettet i løbet af 4 uger.

Problemerne kunne kort beskrives som

  • Default opsætningen i fiberboksen var kun ændret nok til at få det til at virke. Default koder til konsol, webinterface og GPON var ikke ændret. Firewall var ikke sat op i fiberboksen.
  • Der var et fælles login til FTP-serveren hvor alle konfigurationerne var gemt, de indeholdte hver kundes WiFi og SIP kode. Alle konfigurationerne på FTP-serveren var læse- og skive-bare.
  • Der var ingen firewalls i management netværket, der var ført ud til alle fiberbokse.
  • Kundenummeret var genbrugt som WiFi navn, og WiFi koden var genbrugt til login i selvbetjening.
  • Du kunne via selvbetjenings-hjemmeside få koden til WiFi/selvbetjening ved at kende WiFi navn og adresse.
  • Der var en fejl der gjorde det muligt at blive root fra konsol og webinterface.

Som det ser ud nu, er der ikke nogen måde at masse-overtage alle fiberboksene på. Men det er stadig muligt at lave målrettet angreb.

Eget indhold

Links

Hentet fra "https://wiki.permejdal.dk/w/index.php?title=Sikkerhedsproblemer_hos_Eniig_Fiber&oldid=120"