Een kwetsbaarheid in twee modems van KPN zorgt ervoor dat de authenticatie bij deze modems omzeilbaar is, zo meldt Tenable. Het gaat om de Arcadyan VGV7519 en VRV9517, die KPN respectievelijk de ExperiaBox V8 en V10A heeft genoemd. Daardoor kunnen gebruikers zonder authenticatie aanpassingen aan de netwerkinstellingen doen. De verschillende fabrikanten en providers zijn inmiddels op de hoogte gebracht.
Het gaat hierbij om een path traversal-kwetsbaarheid, die is geregistreerd als CVE-2021-20090. De kwetsbaarheid is ontdekt op de firmwareversie 5.00.48 bij de ExperiaBox V10A en firmwareversie 3.01.116 bij de V8. De kwetsbaarheid treft veel verschillende routers, omdat het geen fout in een specifiek modem betreft, maar een probleem in de firmware. Naast modems van KPN en Arcadyan zijn ook een modems en routers van ASUS, Vodafone, Verizon, Orange en Deutsche Telekom kwetsbaar. Door de kwetsbaarheid kunnen aanvallers op afstand toegang krijgen tot gevoelige informatie waar normaliter authenticatie nodig voor zou zijn, waaronder valid request tokens, om zo routerinstellingen te veranderen.
Het CERT Coordination Center adviseert mensen met een kwetsbaar apparaat te updaten naar de laatst beschikbare firmwareversie. Het wordt ook aanbevolen om de externe (WAN-side) beheerservices op elke SoHo-router uit te schakelen en ook de webinterface op het WAN uit te schakelen. KPN maakt sinds 2018 gebruik van de ExperiaBox V10A.
KPN reageert in een statement op de berichtgeving: "We hebben inderdaad vernomen dat er zich een kwetsbaarheid in de software van onze ExperiaBox V10A en de VGV7519 bevindt. In dit KPN-modem is deze kwetsbaarheid alleen via de eigen LAN toegankelijk. Van buiten af kan dat alleen indien er toegang is tot de Web interface, dit is op de KPN-modems niet mogelijk. Dat neemt niet weg dat we deze kwetsbaarheid snel willen herstellen, we zijn met de leverancier in gesprek over een oplossing. Die oplossing ligt er al en we zullen deze op korte termijn, in de eerstvolgende software-update meenemen."
