zyxel CPE zero-day alert!!

Zover ik het begrijp gaat dit om een mogelijkheid van een aanval met telnet op de "management interface". Volgens mij staat die interface niet open op het internet (VLAN 300) maar zou alleen intern bij Odido toegankelijk moeten zijn (via aparte VLAN 100).

In the meantime, users are advised to filter traffic for unusual HTTP requests to Zyxel CPE management interfaces and restrict administrative interface access to trusted IPs.

Maar verduidelijking van Odido kan wel fijn zijn.

​@rvk01 ahaa! Goeie info! En ja, verduidelijking van odido zou fijn zijn! Helemaal mee eens! 
​@rvk01 ! 💪🏼👍🏻

Heeft een van jullie de Odido Zyxel verbonden op het moment? Dan kan je testen of een verbinding gemaakt kan worden op het publieke (dus VLAN300) IP op poort 23 (telnet) of 80 (http).

Het zou fijn zijn als het risico minder was vanwege VLAN100, maar meten=weten. En aangezien Odido heel veel klanten in NL heeft, is het ook wel fijn om te weten of je vanaf een Odido aansluiting via VLAN100 bij andere klanten kan komen.

Want dit wordt o.a. door het Mira botnet geexploit op het moment, lijkt het (zegt het artikel), en als die de mogelijkheid hebben om vanaf een reeds-geinfecteerde bot bij honderden-duizenden andere routers kunnen komen via deze CVE en VLAN100, dan is het nog steeds kritiek.

Hallo ​@Ben Boot 

Ik had ooit eens gelezen dat dit geen gevaar is voor provider routesr omdat de routers van Odido een custom firmware hebben die wordt beheert door Odido en niet door Zyxel.

Voor de zekerheid heb ik ook gekeken of ik met met publieke IP adres via poort 80 of 23 op de router interface kom maar dat lukt niet (met een Zyxel-T56).

hoi ​@Ben Boot ,

Ik heb ook even getest, maar de poorten 80/23 leiden niet tot toegang op het publieke IP adres. Daar heeft Odido de juiste bescherming voor gekozen, VLAN100 is het management VLAN en heeft op de router een private IP adres waar alleen de management apparatuur van Odido toegang tot heeft. Dat is dus ook een voordeel van een provider router, je hoeft dan niet zelf de security alerts te volgen als met je eigen router.

Weet iemand trouwens of er een overzicht is van de paar routers die Odido levert, welke firmware er voor is, en wat de verschillen/updates zijn?

Want ik zie alleen maar mensen die vragen om een firmware upgrade of downgrade, en een paar mensen lijken bekend te zijn met welke er nieuw is of niet, maar ik zie dit nergens overzichtelijk.

Goed dat die poorten uit lijken te staan, maar die eerste opmerking is natuurlijk hilarisch belachelijk. No offense.

Want die firmware komt oorspronkelijk gewoon van Zyxel, en daar zijn wat cosmetische aanpassingen aan gedaan, maar CVEs (beveiligingslekken) die er in de oude firmware van Zyxel zaten, zitten natuurlijk net zo goed in de Odido firmware. En de fixes voor die bugs komen van Zyxel, niet van Odido. De Odido die niet begrijpt wat een UDP poort is, heeft niet custom firmware engineers in dienst, lijkt me. Enige aanpassingen die Odido doet (of waarschijnlijk: verzoekt aan Zyxel om te doen) zijn cosmetisch, voor de lelijke branding, of om bepaalde features uit te zetten of vantevoren te configureren.

In de praktijk betekent dit dat als er een CVE is ontdekt, en Zyxel patcht dit snel, dat daarna nog de vertraging is van de processen die Odido intern heeft om die patches in te voeren. Als ze het al doen.

Dat overzicht is er niet omdat Odido de firmware beheerd en alle routers automatisch op de laatste versie worden gehouden. Alleen in het geval er specifieke wifi verbindings uitdagingen zijn wordt er een downgrade uitgevoerd naar de vorige versie en zal een eventuele fix weer bij de volgende roll out worden geimplementeerd. Ook hier, de klant hoeft zich niet druk te maken om welke versie bij welke router. Deze ontzorging neemt Odido voor haar rekening.

Ik snap de “omdat” niet.

Waarom zou Odido niet duidelijk willen maken welke firmware versies er zijn, en welke verbeteringen/veranderingen doorgevoerd zijn… omdat er niet gebruikershandelingen nodig zijn om dat in werking te zetten? Die twee zijn niet gelinkt.

Er zijn wel meer dingen waar ik graag geinformeerd over wordt, ook al hoef ik er niet zelf achteraan te gaan. Stel je voor dat de politiek zo werkte: je hoeft niet te weten welke wetten of voorstellen we indienen, want je kan dat toch niet zelf doen. Je hebt voor ons als partij gekozen, en wij ontzorgen je daar van.

​@GebruikersnaamRandomTekst Op VLAN 300 staan standaard geen poorten open. Op VLAN 100 alleen poort 443 (HTTPS) zodat Odido kan inloggen in de webinterface en poort 7547 voor lijnmetingen, updates en dat soort zaken. Alleen Odido kan daar bij. Je kunt niet als klant bij een andere klant inloggen als je je computer rechtstreeks met VLAN 100 verbindt en neem van mij aan dat ik dat wel geprobeerd heb. Met Telnet/SSH doet Odido niets.

Release notes van de firmware heb ik niet, wel een overzichtje van de nieuwste op dit moment per router:

HG659                  V100R001C243B032
VMG8825-T50     V550ABPY1b24_20240613
WAP6807             V100ABTB2b22W
DX5401-B0 (T54) V517ABZC0T54C_b28
DX5401-B1 (T54) V517ABZC0T54C_b28
EX5601-T1 (T56)  V570ACEA0T56C_b10_0130
WX5600-T0         V570ACDW0b8
EX7501-B0 (T75)  V518ACDA0_T75C_b10

Alleen de routers die ​@Waqqas noemt plus de WX5600 worden uitgeleverd. De rest is nog wel in omloop bij mensen die al langer klant zijn. Voor de T54 kun je momenteel een downgrade aanvragen, omdat sommige routers spontaan opnieuw opstarten. Je krijgt dan de vorige versie (V517ABZC0T54C_b21_1129_2).

Mag ik die aanvullen met de Zyxel NR5307 5G router die met 2 soorten firmware bij mensen thuis staan. De uitrol van de tweede is in de eerste week na introductie stilgezet maar kan nog aangevraagd worden voor zover ik weet.

V1.00(ACJG.0)NR53_b7D0528 - Standaard firmware
V1.00(ACJG.0)NR53_b9D0806 - Aangepast in gebruik lage banden n28 b20 b8 uitgezet

Bedankt, ​@TMTV !