En los enrutadores FiberHome utilizados por los proveedores para conectar a los suscriptores a las líneas de comunicación ópticas GPON, se identificaron 17 problemas de seguridad, incluida la presencia de backdoors con credenciales predefinidas que permiten el control remoto de los equipos. Los problemas permiten que un atacante remoto obtenga acceso de root al dispositivo sin pasar la autenticación.
Hasta el momento se ha confirmado la presencia de vulnerabilidades en dispositivos FiberHome HG6245D y RP2602, así como parcialmente en dispositivos AN5506-04- *, pero es posible que los problemas afecten a otros modelos de enrutadores de esta empresa que no han sido probados.
Se observa que, por defecto, el acceso IPv4 a la interfaz de administrador en los dispositivos estudiados está limitado a la interfaz de red interna, lo que permite el acceso solo desde la red local, pero al mismo tiempo, el acceso IPv6 no está limitado de ninguna manera, lo que permite utilizar las puertas traseras existentes al acceder a IPv6 desde la red externa.
Además de la interfaz web que funciona a través de HTTP/HTTPS, los dispositivos proporcionan una función para la activación remota de la interfaz de línea de comandos, a la que se puede acceder a través de telnet.
La CLI se activa enviando una solicitud especial a través de HTTPS con credenciales predefinidas. Además, se detectó una vulnerabilidad (desbordamiento de pila) en el servidor http que sirve a la interfaz web, explotada al enviar una solicitud con un valor de cookie HTTP especialmente formado.
Los enrutadores FiberHome HG6245D son enrutadores GPON FTTH. Son principalmente utilizado en América del Sur y en el sudeste asiático (de Shodan). Estos dispositivos vienen con competitivos precios pero son muy potentes, con mucha memoria y almacenamiento.
Algunas vulnerabilidades se han probado con éxito contra otras dispositivo fiberhome (AN5506-04-FA, firmware RP2631, 4 de abril de 2019). los Los dispositivos fiberhome tienen una base de código bastante similar, por lo que es probable que otros dispositivos de fibra para el hogar (AN5506-04-FA, AN5506-04-FAT, AN5506-04-F) son también vulnerable.
En total, el investigador identificó 17 problemas de seguridad, de los cuales 7 afectan al servidor HTTP, 6 al servidor telnet y el resto están asociados con fallas en todo el sistema.
El fabricante fue notificado de los problemas identificados hace un año, pero no se ha recibido información sobre una solución.
Entre los problemas identificados se menciona lo siguiente:
- Información filtrada sobre subredes, firmware, ID de conexión FTTH, direcciones IP y MAC en la etapa antes de pasar la autenticación.
- Guardar las contraseñas de los usuarios en el registro en texto sin cifrar.
- Almacenamiento de texto claro de credenciales para conectarse a redes inalámbricas y contraseñas.
- Desbordamiento de pila en el servidor HTTP.
- La presencia en el firmware de una clave privada para certificados SSL, que se puede descargar a través de HTTPS («curl https: //host/privkeySrv.pem»).
En el primer análisis, la superficie de ataque no es enorme:
– – solo HTTP / HTTPS está escuchando de forma predeterminada en la LAN
– – También es posible habilitar una CLI telnetd (no accesible por predeterminado) en el puerto 23/tcp mediante el uso de credenciales codificadas en la web interfaz de administración.Además, debido a la falta de firewall para la conectividad IPv6, todos los servicios internos serán accesibles a través de IPv6 (desde Internet).
En cuanto al backdoor identificado para la activación de telnet el investigador menciona que el código del servidor http contiene un controlador de solicitud especial «/telnet», así como un controlador «/fh» para acceso privilegiado.
Además, se encontraron contraseñas y parámetros de autenticación codificados en el firmware. En total, se identificaron 23 cuentas en el código del servidor http, vinculadas a diferentes proveedores. Y en cuanto a la interfaz CLI, en esta se puede iniciar un proceso telnetd separado con privilegios de root en el puerto de red 26 pasando una secuencia de comandos en base64 además de que se define una contraseña general «GEPON» para conectarse a telnet.
Finalmente si estás interesado en conocer más al respecto, puedes consultar el siguiente enlace.