Bredbandsbolaget "rättade" säkerhetsbrist i Zyxel-modem med verkningslöst portbyte

Inget inaktiverat gränssnitt utan bara ett simpelt portbyte. Nu upptäcks att Bredbandsbolagets säkerhetsuppdateringar till två av tre berörda Zyxel-modem är så gott som verkningslösa.

För ett litet tag sedan framkom att några av Bredbandsbolagets vanligaste modem innehåller en allvarlig säkerhetsbrist. I Zyxel 2601, 2602 och 2812 finns ett dolt och förinställt administrationskonto, som bara skyddas av ett fyrsiffrigt lösenord. Det utgör i praktiken en bakdörr och ger så gott som obegränsade möjligheter att avlyssna och manipulera den datatrafik som passerar modemet.

Zyxel-2601-2602-2812-Bredbandsbolaget.jpg

Kort efter upptäckten vidtog Bredbandsbolaget enligt egen utsago den klumpiga men tillsynes effektiva åtgärden att helt enkelt inaktivera administrationsgränssnittet i en uppdatering av mjukvaran, något som hindrar både den rättmätiga användaren och potentiella angripare från att komma åt modemets inställningar.

Nu rapporterar Dagens Nyheter att detta inte stämmer. I två av tre berörda modem, närmare bestämt modellerna Zyxel 2601 och 2812, finns sårbarheten fortfarande kvar. Bredbandsbolaget har i själva verket inte inaktiverat gränssnittet utan enbart bytt port från 80 till 37964.

Andreas Hamrin, presschef på Bredbandsbolaget, menar dock att den tidigare informationen misstolkats. Den "nya" mjukvaran till modemen rättade inte alls till några säkerhetsproblem utan ändrade bara inställningarna, vilket knappast utgör något hinder för en målmedveten angripare.

Eftersom det har kunnat misstolkas så är det olyckligt. Det har inte varit vår avsikt. Tvärtom har vi försökt vara så tydliga som möjligt. Med säkerhetsuppdatering menade vi en ändring av konfigurations­inställningarna.

På Bredbandsbolagets webbplats står det nu att "den sårbarhet som identifierades den 29 oktober åtgärdades genom ändringar i modemkonfigurationen redan den 30 oktober". Den senaste upptäckten om att uppdateringen är verkningslös har internetleverantören "nu inlett arbetet med att åtgärda".

Kommentarer till artikeln

79 debattinlägg

Skicka en rättelse
8

Fredagspanelen 126: Oculus Touch, AMD Crimson ReLive och Fitbit förvärvar Pebble

Jonas och Kenneth rasar över uteblivna smarta klockor, snackar nya drivrutiner och blir påtvingade ett grandiost julpynt i veckans avsnitt av fredagspanelen. Läs mer

18

Julstämning med Bluetooth-styrd ljusstake

Till julen hör ljusstakar och slingor i alla tänkbara tappningar. Medlemmen Sennaho skruvar upp konceptet genom att introducera styrning via Bluetooth. Läs mer

28

The Division får DirectX 12-stöd nästa vecka

I och med nästa uppdatering av svenska Massives The Division introduceras stöd för grafikgränssnittet DirectX 12, vilket ska medföra bättre prestanda i högre upplösningar. Läs mer

13

Google, Oculus och HTC med flera går samman för att bilda VR-förening

För att främja utveckling och innovation inom virtuell verklighet går flera stora aktörer samman och bildar Global Virtual Reality Association, ett samarbete som ska forma framtiden för VR. Läs mer

21

Bitfenix avtäcker Shogun – chassi med dubbla paneler av härdat glas

Dubbla paneler av härdat glas, gedigen konstruktion och plats för en uppsjö av hårddiskar. Dessa är några av paradnumren för Bitfenix senaste flaggskeppschassi Shogun. Läs mer

Tangentbordet Logitech G610 Orion Red och spännande tävling bakom nionde luckan

  • igår 12:00

Bakom lucka nio i Geeks Julkalender döljer sig både ett fint erbjudande på tangentbordet G610 Orion Red från Logitech, och en tävling där du kan vinna tangentbordet, spelmus och andra tillbehör. Läs mer

24

SweClockers logotyp pyntad för jul!

Nio stilfulla jullogotyper gick till final och efter att medlemmarna fått säga sitt är det ett bidrag som med bred marginal kammat hem segern, och får sprida julstämning på SweClockers. Läs mer

12

Spelare bygger fungerande Atari 2600-emulator i Minecraft

Youtube-användaren SethBling visar i ett nytt videoklipp på de stora möjligheterna i Minecraft, med en Atari 2600-emulator skapad direkt i spelet. Läs mer

10

Testpilot: Cooler Master Mastermouse Pro L

Cooler Masters modulära mus Mastermouse Pro L passar både vänster- och högerhänta samt olika greppstilar. Testpiloten Niklas Huhtala sätter tänderna i modellen och ser vad den går för. Läs mer

61

Microsoft samarbetar med Qualcomm för att ta Windows 10 till ARM-processorer

I ett något oväntat drag meddelar nu Microsoft att Windows 10 i framtiden kommer kunna köras på ARM-processorer, med stöd för samtliga Windows-applikationer och spel. Läs mer

58

AMD introducerar Radeon Software Crimson ReLive

Ett år efter introduktionen av mjukvarusviten Radeon Software Crimson har det blivit dags för nästa inkarnation, där en av de stora nyheterna är en hårdvaruaccelererad inspelningsfunktion. Läs mer

48

Bethesda plockar bort kopieringskyddet Denuvo i Doom

Utvecklaren Bethesda blir nu den andra som på kort tid gör sig av med kopieringsskyddet Denuvo, efter Playdeads Inside. Anledningen tros vara att skyddet kringgicks kort efter lanseringen. Läs mer