De Britse internetprovider Virgin Media heeft verschillende ernstige beveiligingslekken in de Virgin Media Hub 3.0 breedbandmodem, waardoor een aanvaller op afstand het apparaat kon overnemen, na anderhalf jaar gepatcht. De kwetsbaarheden werden door een onderzoeker van securitybedrijf NCC Group gevonden.

De modem werd eind 2016 en begin 2017 door onderzoeker Balazs Bucsay onderzocht. “Na een paar uur proberen werd er een kwetsbaarheid gevonden waardoor op afstand commando’s waren uit te voeren”, aldus Bucsay. “Dit was pas het begin van het verhaal.” De onderzoeker wilde een exploit ontwikkelen waarmee de modem op afstand zonder enige interactie van de gebruiker kon worden overgenomen.

De Virgin Media Hub wordt door miljoenen klanten van Virgin Media gebruikt. Een dergelijke exploit zou dan ook grote gevolgen kunnen hebben. Uiteindelijk ontdekte Bucsay verschillende andere kwetsbaarheden waardoor een modem op afstand zonder interactie van de gebruiker kon worden overgenomen. Alleen het bezoeken van een kwaadaardige website of het te zien krijgen van een besmette advertentie zou voldoende zijn. Daarnaast was het mogelijk om via de kwetsbaarheden een backdoor te installeren op een manier waardoor die lastig te vinden en te onderzoeken zou zijn.

Virgin Media werd op 22 maart 2017 voor het eerst door Bucsay geïnformeerd. De provider was van plan om in augustus of september van dat jaar met een beveiligingsupdate te komen, maar haalde de deadline niet. Op 31 juli 2018, zo’n anderhalf jaar na het eerste contact, kwam Virgin Media met een update. De onderzoeker heeft de details van de kwetsbaarheden nu openbaar gemaakt.