Beheer

Security
netwerk

2017-gat gebruikt om AT&T-klanten te hacken

Botnet benut gat in netwerkapparatuur dat in 2017 is ontdekt.

© CCO / Pixabay blickpixel
2 december 2021

Botnet benut gat in netwerkapparatuur dat in 2017 is ontdekt.

Duizenden bedrijfsklanten van telecomaanbieder AT&T in de VS zijn gehackt via een kwetsbaarheid in een edge-appliance voor netwerken. De gehackte netwerkapparaten zijn te misbruiken voor Denial of Service-aanvallen (DoS) of om interne netwerken verder te hacken. Een voorheen onbekend botnet heeft hiervoor een kwetsbaarheid benut die in 2017 is ontdekt en die al sinds 2006 in de firmware zit.

Het gehackte apparaat is een EdgeMarc-appliance waarmee Amerikaanse mkb'ers aan realtime communicatie kunnen doen. Dit zijn dus bijvoorbeeld telefoongesprekken, groepsgesprekken en videovergaderingen. Deze systemen hebben in de regel ruime bandbreedte waardoor ze interessant zijn voor DoS- en DDoS-aanvallers. Verder kunnen deze edge-apparaten door hun intermediaire rol tussen interne netwerken en internetproviders een interessante ingang vormen voor digitale inbrekers.

Verborgen beheeroptie

De kwetsbaarheid in kwestie (CVE-2017-6079) schuilt in een verborgen deel van het webbeheerpaneel voor de Edgemarc-appliances van Edgewater Networks. Die leverancier heeft in zijn firmware een verborgen pagina de mogelijkheid ingebouwd om gebruikerscommando's uit te laten voeren. Het netwerkapparaat geeft daarbij geen feedback, maar voert correct opgegeven commando's wel blind uit. Het hierbij gebruikte verborgen account heeft als gebruikersnaam 'root' en als wachtwoord 'default'.

Deze kwetsbaarheid is begin 2017 ontdekt en gemeld aan de fabrikant van de hackbare netwerkapparatuur. Edgewater liet toen aan de ontdekker weten dat een fix op de planning stond om uit te komen in een aankomende nieuwe versie van de firmware. Daarbij is toen echter geen datum opgegeven. Een maand later heeft de ontdekker opnieuw contact opgenomen, maar geen reactie gekregen. Vervolgens heeft hij de ernstige kwetsbaarheid geopenbaard.

Eind 2018 een fix

Nu, eind 2021, blijkt dit beveiligingsgat nog niet overal te zijn gepatched of afgeschermd door mitigerende maatregelen. Security-onderzoekers van het Chinese bedrijf Qihoo 360 hebben onlangs een voorheen onbekend botnet gedetecteerd. Zij wisten korte tijd toegang te verkrijgen tot een van de command-and-control (c&c) servers van dat botnet en hebben daar gezien dat aangevallen apparaten EdgeMarc-netwerkcontrollers waren. Het gat uit 2017 is uiteindelijk in december 2018 gefixt met een update die handmatig moet worden uitgevoerd, weet Ars Technica te melden.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.