WLAN-Kabelbox CH8978E Admin Login funktioniert nicht mehr.

[newskooldisplay]

Liebes Forum,
meine WLAN-Kabelbox CH8978E scheint gehacked.
Zuerst verschwand eines meiner W-Lan Netze, dann versuchte ich auf die admin-oberflache zu kommen- nur mein Passwort wurde nicht mehr angenommen.

Ok: Factory Reset!

Der Default Netzwerkname erschien, das default WPA2 Passwort funktionierte - ABER:
Das default admin Passwort: "Computer sagt: Nein."

Gibt es einen Exploit für die Compai Broadband Networks Hardware?

Was tut PYUR in diesem Fall?
Ich habe mich dann von wenig Kompetent wirkenden Call-CenterLadies zu einem Fritz!Box-Upgrade mit TV-Deal überredenlassen wobei ich dann direkt eine Teilkündigung aussprechen muss damit ich für 5 euro weniger im Monat eine neue HW bekomme...

ABER: Kennt jemand hier das Problem? Der Expolit ist Bekannt:

https://www.exploit-db.com/exploits/35075


CBN CH6640E/CG6640E Wireless Gateway Series Multiple Vulnerabilities


Vendor: Compal Broadband Networks (CBN), Inc.
Product web page: http://www.icbn.com.tw
Affected version: Model: CH6640 and CH6640E
Hardware version: 1.0
Firmware version: CH6640-3.5.11.7-NOSH
Boot version: PSPU-Boot(BBU) 1.0.19.25m1-CBN01
DOCSIS mode: DOCSIS 3.0


Summary: The CBN CH6640E/CG6640E Wireless Gateway is designed for your home,
home office, or small business/enterprise. It can be used in households with
one or more computers capable of wireless connectivity for remote access to
the wireless gateway.

Default credentials:

admin/admin - Allow access gateway pages
root/compalbn - Allow access gateway, provisioning pages and provide more
configuration information.

Desc: The CBN modem gateway suffers from multiple vulnerabilities including
authorization bypass information disclosure, stored XSS, CSRF and denial of
service.

Tested on: Compal Broadband Networks, Inc/Linux/2.6.39.3 UPnP/1.1 MiniUPnPd/1.7


Vulnerabilities discovered by Gjoko 'LiquidWorm' Krstic
@zeroscience


Advisory ID: ZSL-2014-5203
Advisory URL: http://www.zeroscience.mk/en/vulnerabil ... 4-5203.php


04.10.2014

---



Authorization Bypass Information Disclosure Vulnerability
#########################################################

http://192.168.0.1/xml/CmgwWirelessSecurity.xml
http://192.168.0.1/xml/DocsisConfigFile.xml
http://192.168.0.1/xml/CmgwBasicSetup.xml
http://192.168.0.1/basicDDNS.html
http://192.168.0.1/basicLanUsers.html
http://192.168.0.1:5000/rootDesc.xml

Set cookie: userData to root or admin, reveals additional pages/info.

--
<html>
<body>
<script>
document.cookie="userData=root; expires=Thu, 09 Dec 2014 11:05:00 UTC; domain=192.168.0.1; path=/";
</script>
</body>
</html>
--

[Jay]

Ich denke nicht dass das jemand hier kennt, weil die Anzahl der User recht klein ist.

Die Chance das ein Hacker im näheren Umfeld exakt mit diesem Exploid etwas macht, ist ebenfalls nicht sonderlich hoch.

Was für eine Firmeware hat denn deine Compal?

Die Box ist aber schon alt, auch wenn das im aktiven Dienst nicht bedeuten muss das der Hersteller sich nicht noch um Updates kümmert, zu mal dieser Exploit, wenn noch vorhanden, uralt ist, im Sinne der Zeit von Computern, Hardware/Software.

Wenn er noch da ist, wäre es sowohl für Compal als auch für PYUR, kein gutes Zeichen.

Eine Frage bitte noch.

Wie lange war die Box bei dir im Einsatz, also wann hast du die bekommen?

[newskooldisplay]

@jay, Danke für deine Antwort.
Ich habe die Box erst ein Jahr im Einsatz- sie kam als unpromted Austausch für die erste Box die ich nur 4 Monate im Einsatz hatte.
Du hast in deiner Antwort einen interessanten Satz: Hacker im näheren Umfeld...
warum müssen die denn im näheren Umfeld sein? Ich denke nicht das die über das W-Lan kamen sondern das übers internet.
So verstehe ich zumindest die Dokumentation der exploits.
Und das legt nahe das Pyur da die Verantwortung hat das die Gerate safe sind... Ich habe als Kunde die Hardware "as intended" benutzt.

PYUR scheint leider nicht stark im Bereich Cybersecurity zu sein - gab ja gerade erst einen hack mit kunden Daten...

[J05H]

Der Exploit ist von 2014 und bezieht sich auf eine Modell-Reihe die 2 Generationen älter ist. 2014 gab es die 8978 noch garnicht.
Zudem werden regelmäßig neue Firmware-Updates verteilt. Aktuell bekommen die 8978er wieder ein Update und davor wurde zuletzt im April 2024 ein Firmware-Update verteilt.

Würde daher eher schauen ob die Endgeräte, mit denen du auf die Kabelbox zugreifst, das Problem verursachen.

[Jay]

Der Exploit ist von 2014 und bezieht sich auf eine Modell-Reihe die 2 Generationen älter ist. 2014 gab es die 8978 noch garnicht.
Zudem werden regelmäßig neue Firmware-Updates verteilt. Aktuell bekommen die 8978er wieder ein Update und davor wurde zuletzt im April 2024 ein Firmware-Update verteilt.

Würde daher eher schauen ob die Endgeräte, mit denen du auf die Kabelbox zugreifst, das Problem verursachen.

Ja richtig, gut aufgepasst, das Modell habe ich gar nicht überprüft. ^^

[Kasimir]

Du hast in deiner Antwort einen interessanten Satz: Hacker im näheren Umfeld...
warum müssen die denn im näheren Umfeld sein? Ich denke nicht das die über das W-Lan kamen sondern das übers internet.

die Seiten sind aber nur aus dem internen Netz abrufbar, dh der Angreifer müsste sich schon Zugang zum Netz verschafft haben. In dem Fall hätte man eh ein größeres Problem...

[newskooldisplay]

Was könnte ich denn tun damit ich wieder zugriff auf die admin Oberfläche bekomme? Meine einzige idee: Firmware neu flashen
Aber wie?

[Kasimir]

ich kann nicht nachvollziehen warum das mit einen werksreset nicht funktioniert.
wenn das mit dem werksreset nicht funktioniert, kann dir nur die hotline mit einem hardwaretausch helfen. andere möglichkeiten für einen endkunden mit providerhardware seh ich nicht.

[Jay]

@jay, Danke für deine Antwort.
Ich habe die Box erst ein Jahr im Einsatz- sie kam als unpromted Austausch für die erste Box die ich nur 4 Monate im Einsatz hatte.
Du hast in deiner Antwort einen interessanten Satz: Hacker im näheren Umfeld...
warum müssen die denn im näheren Umfeld sein? Ich denke nicht das die über das W-Lan kamen sondern das übers internet.
So verstehe ich zumindest die Dokumentation der exploits.
Und das legt nahe das Pyur da die Verantwortung hat das die Gerate safe sind... Ich habe als Kunde die Hardware "as intended" benutzt.

PYUR scheint leider nicht stark im Bereich Cybersecurity zu sein - gab ja gerade erst einen hack mit kunden Daten...

Über Wlan Geräte zu hacken, bei solch alten Geräten, ist leichter, als es über Netz zu versuchen.

In dem Fall, musst du schon Malware oder irgendwas auf deinem Rechner installieren, was ebenfalls eine Aktion/Dummheit von anderern erfordert.

"Denial of Service (DoS) for all WiFi connected clients (disconnect)"

Ich kenne diesen Angriff und der funktioniert wohl nur übers Wlan, zumindestens habe ich ihn in diesem Zusammenhang kennen gelerent.
Das machen Hacker, damit sie sich mit den Daten des Geräts dann selbst einloggen können.

Du selbst darfst die Box gar nicht flashen, aber ich würde dir einen Wechsel zu Fritzbox raten.

Lieber ein paar Kröten zahlen, aber dafür die Sicherheit das auch regelmäßig Updates kommen.

[dunkle_nacht]

Lieber ein paar Kröten zahlen, aber dafür die Sicherheit das auch regelmäßig Updates kommen.

Das denke ich auch. Flash du selber was dann kann Pyur nicht mehr drauf zu greifen. Ruf die Hotline an, geh in einen Shop. Lass das Gerät gegen eine FB tauschen. Das Geld monatlich rechnet sich schon beim ersten Blitzeinschlag in deiner Gegend

[J05H]

Was könnte ich denn tun damit ich wieder zugriff auf die admin Oberfläche bekomme?

Zieh mal alle Kabel, bis auf die Stromversorgung, von der Kabelbox ab. Danach Reset-Knopf mit Stift ca. 10. Sekunden gedrückt halten für Werksreset. Versuch dann über WLAN dich auf der Oberfläche anzumelden. Wenn das nicht funktioniert über LAN-Kabel. Wichtig dabei ist, dass das Koaxkabel nicht verbunden ist weil beim Verbindungsaufbau eine Konfigurationsdatei vom Server runtergeladen wird, die die Verbindungsdaten und weitere Einstellungen für Community-WLAN enthält.
Sollte das Login funktionieren, dann steck das Koaxkabel wieder rein. Die Kabelbox wird sich dann die Konfiguration vom Server laden und neu starten. Sollte dann das Login nicht mehr funktionieren ist die auf dem Server hinterlegte Konfiguration das Problem.