Konta backdoor odkryte w 29 urządzeniach FTTH od chińskiego dostawcy C-Data

Ostrzeżenia - czyli na co uważać w necie i jak się przed tym zabezpieczyć.
serwerux1
Level 2
Level 2
Posty: 904
Rejestracja: 16 maja 2016, 12:16

Konta backdoor odkryte w 29 urządzeniach FTTH od chińskiego dostawcy C-Data

Postautor: serwerux1 » 13 lip 2020, 20:25

Dwóch badaczy bezpieczeństwa stwierdziło, że odkryli poważne luki i coś, co wydaje się być celowymi backdoorami w oprogramowaniu 29 urządzeń FTTH OLT od popularnego dostawcy C-Data.

FTTH oznacza Fibre-To-The-Home, a OLT oznacza optyczne zakończenie linii.

Termin FTTH OLT odnosi się do sprzętu sieciowego, który pozwala dostawcom usług internetowych na doprowadzenie kabli światłowodowych jak najbliżej użytkowników końcowych.

Jak wskazuje ich nazwa, urządzenia te są zakończeniem w sieci światłowodowej, przekształcając dane z linii optycznej w klasyczne połączenie kablowe Ethernet, które następnie podłączane jest do domu konsumenta, centrów danych lub centrów biznesowych.

Urządzenia te znajdują się w całej sieci usługodawcy internetowego, a ze względu na ich kluczową rolę, są również jednym z najbardziej rozpowszechnionych obecnie rodzajów urządzeń sieciowych, ponieważ muszą znajdować się w milionach punktów końcowych zakończenia sieci na całym świecie.

W opublikowanym raporcie badacze bezpieczeństwa Pierre Kim i Alexandre Torres stwierdzili, że odkryli siedem luk w oprogramowaniu układowym urządzeń FTTH OLT wyprodukowanych przez chińskiego dostawcę sprzętu C-Data.

Kim i Torres powiedzieli, że potwierdzili luki, analizując najnowsze oprogramowanie układowe działające na dwóch urządzeniach, ale uważają, że te same luki wpływają na 27 innych modeli FTTH OLT, ponieważ działają na podobnym oprogramowaniu.

Luki są tak poważne, jak to tylko możliwe, ale zdecydowanie najgorsza i najbardziej niepokojąca z siedmiu jest obecność kont backdoor Telnet zakodowanych na stałe w oprogramowaniu.

Konta umożliwiają atakującym połączenie się z urządzeniem za pośrednictwem serwera Telnet działającego na interfejsie WAN urządzenia (strona internetowa). Kim i Torres powiedzieli, że konta zapewniają intruzom pełny dostęp do interfejsu CLI administratora.

Dwaj badacze stwierdzili, że znaleźli cztery kombinacje nazwy użytkownika i hasła ukryte w oprogramowaniu C-Data, przy czym konta backdoor różnią się w zależności od urządzenia, w zależności od modelu urządzenia i wersji oprogramowania układowego.

suma123/panger123
debug/debug124
root/root126
guest/[empty]

Ale ten początkowy dostęp do backdoor CLI może być następnie wykorzystany do wykorzystania innych luk. Na przykład Kim i Torres powiedzieli, że osoba atakująca może również wykorzystać drugi błąd do wyświetlenia poświadczeń w postaci jawnego tekstu w interfejsie CLI Telnet dla wszystkich innych administratorów urządzeń; poświadczenia, których można użyć w późniejszym czasie w przypadku usunięcia konta backdoor.

Trzecia luka umożliwiła również atakującemu wykonywanie poleceń powłoki z uprawnieniami roota z dowolnego konta CLI.

Czwarty błąd został wykryty w tym samym serwerze Telnet działającym na interfejsie WAN. Kim i Torres powiedzieli, że ten serwer może zostać wykorzystany do awarii urządzenia FTTH OLT. Ponieważ serwer domyślnie działał na interfejsie WAN, tego błędu można użyć do sabotowania sieci dostawcy usług internetowych, jeśli nie filtrują one ruchu do urządzeń FTTH OLT.

Ale na urządzeniach działał również serwer sieciowy, który został dołączony do zasilania panelu zarządzania urządzenia. Tutaj Kim i Torres znaleźli piąty błąd. Wystarczy pobrać sześć plików tekstowych z tego serwera WWW, a osoba atakująca może zdobyć poświadczenia konta w postaci jawnego tekstu dla interfejsu internetowego urządzenia, serwera Telnet i interfejsu SNMP.

W przypadku znalezienia któregoś z haseł w formacie zaszyfrowanym Kim i Torres twierdzą, że nie stanowi to również problemu, ponieważ poświadczenia są zwykle zabezpieczane za pomocą łatwej do złamania funkcji XOR.

I na koniec, dwaj badacze wskazali, że wszystkie interfejsy zarządzania na testowanych urządzeniach działały w trybach czystego tekstu, z HTTP zamiast HTTPS, Telnet zamiast SSH i tak dalej.

Poniżej znajduje się lista modeli FTTH OLT C-Data: (podatnych na ataki).

72408A
9008A
9016A
92408A
92416A
9288
97016
97024P
97028P
97042P
97084P
97168P
FD1002S
FD1104
FD1104B
FD1104S
FD1104SN
FD1108S
FD1108SN
FD1204S-R2
FD1204SN
FD1204SN-R2
FD1208S-R2
FD1216S-R1
FD1608GS
FD1608SN
FD1616GS
FD1616SN
FD8000



źródło: zdnet.com

Wróć do „Scams,Oszustwa,Phishing,bezpieczeństwo,Alerty,Ostrzeżenia”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość