Bredbandsbolaget "rättade" säkerhetsbrist i Zyxel-modem med verkningslöst portbyte

Inget inaktiverat gränssnitt utan bara ett simpelt portbyte. Nu upptäcks att Bredbandsbolagets säkerhetsuppdateringar till två av tre berörda Zyxel-modem är så gott som verkningslösa.

För ett litet tag sedan framkom att några av Bredbandsbolagets vanligaste modem innehåller en allvarlig säkerhetsbrist. I Zyxel 2601, 2602 och 2812 finns ett dolt och förinställt administrationskonto, som bara skyddas av ett fyrsiffrigt lösenord. Det utgör i praktiken en bakdörr och ger så gott som obegränsade möjligheter att avlyssna och manipulera den datatrafik som passerar modemet.

Zyxel-2601-2602-2812-Bredbandsbolaget.jpg

Kort efter upptäckten vidtog Bredbandsbolaget enligt egen utsago den klumpiga men tillsynes effektiva åtgärden att helt enkelt inaktivera administrationsgränssnittet i en uppdatering av mjukvaran, något som hindrar både den rättmätiga användaren och potentiella angripare från att komma åt modemets inställningar.

Nu rapporterar Dagens Nyheter att detta inte stämmer. I två av tre berörda modem, närmare bestämt modellerna Zyxel 2601 och 2812, finns sårbarheten fortfarande kvar. Bredbandsbolaget har i själva verket inte inaktiverat gränssnittet utan enbart bytt port från 80 till 37964.

Andreas Hamrin, presschef på Bredbandsbolaget, menar dock att den tidigare informationen misstolkats. Den "nya" mjukvaran till modemen rättade inte alls till några säkerhetsproblem utan ändrade bara inställningarna, vilket knappast utgör något hinder för en målmedveten angripare.

Eftersom det har kunnat misstolkas så är det olyckligt. Det har inte varit vår avsikt. Tvärtom har vi försökt vara så tydliga som möjligt. Med säkerhetsuppdatering menade vi en ändring av konfigurations­inställningarna.

På Bredbandsbolagets webbplats står det nu att "den sårbarhet som identifierades den 29 oktober åtgärdades genom ändringar i modemkonfigurationen redan den 30 oktober". Den senaste upptäckten om att uppdateringen är verkningslös har internetleverantören "nu inlett arbetet med att åtgärda".

Kommentarer till artikeln

79 debattinlägg

Skicka en rättelse
28

Test: Fractal Design Meshify C

Fractal Design skiftar fokus från tystnad till högt luftflöde med den nya chassiserien Meshify, där premiärmodellen Meshify C tar plats i SweClockers testlabb för en ordentlig genomgång. Läs mer

138

Intel: "Core i7-8700K är 51 procent snabbare än Core i7-7700K"

Efter en utbildning för återförsäljare läcker Intels officiella prestandasiffror för Coffee Lake ut på webben, där fler kärnor resulterar i rejäla prestandaökningar mot dagens Kaby Lake. Läs mer

48

HMD tillkännager flaggskeppstelefonen Nokia 8

Telefontillverkaren HMD har tidigare under året lanserat smarta telefoner märkta Nokia. Dessa telefoner har främst varit riktade till budgetsegmentet, men nu presenteras flaggskeppet Nokia 8. Läs mer

30

Alphacool tillkännager sluten vattenkylning och vattenblock för AMD Radeon RX Vega

För de som inte nöjer sig med luftkylning presenterar nu Alphacool sluten vattenkylning och vattenblock anpassade för Radeon RX Vega. Läs mer

10

Nvidia släpper 4K-trailer för Destiny 2 inför den öppna betan

Inför att det öppna betatestet av Destiny 2 för PC/Windows går av stapeln släpper Nvidia en trailer riktad mot PC-spelare, i 4K UHD-upplösning och 60 FPS. Läs mer

57

Intel haussar nionde generationens Core "Ice Lake" på 10 nanometer

Redan innan lansering av Coffee Lake och Cannon Lake går Intel ut med att efterföljande Ice Lake ingår i nionde generationens Core, något som skapar förvirring om vad som komma skall. Läs mer

18

Priset på grafikminne från Samsung och SK Hynix skjuter i höjden

Under den senaste månaden har priset på grafikminne från Samsung och SK Hynix ökat med cirka 30 procent, något som beror på en ökad satsning på minne för servrar och smarta telefoner. Läs mer

71

AMD släpper Radeon-drivrutin optimerad för brytning av kryptovalutor

Efter att AMD:s grafikkort blivit allt mer eftertraktade i syftet att bryta kryptovalutor, släpper bolaget en drivrutin med särskilda optimeringar för ändamålet. Läs mer

24

Testpilot: Creative Sound Blaster X H7 Tournament Edition

Med virtuellt surroundljud och funktionsrik mjukvara tar Creative än en gång sikte på datorspelare som söker nytt headset. Testpiloten Alling granskar årets modell med suffixet Tournament Edition. Läs mer

5

Egendesignad CNC-fräs vinner Månadens Galleri augusti 2017

Moddaren Brodholm kammar för andra gången i rad hem första platsen i Månadens Galleri, den här gången med sin hembyggda CNC-fräs. Läs mer

27

Alphacool lanserar Eisbaer 420 – världens största slutna vattenkylare

För den som kräver mycket kylningsprestanda lanserar nu Alphacool Eisbaer 420, ett slutet vattenkylningssystem med en radiator på hela 420 mm. Läs mer

70

Game of Thrones-avsnitt råkar sändas i förtid och hittar ut på fildelningssajter

Spanska HBO råkade tidigare under veckan ladda upp senaste Game of Thrones-avsnittet i förtid, vilket lett till att det nu letat sig ut på nätet. Läs mer