ஃபைபர்ஹோம் சாதனங்களில் சுமார் 17 பாதிப்புகள் மற்றும் கதவுகள் அடையாளம் காணப்பட்டன

ஃபைபர்ஹோம் ரவுட்டர்களில் GPON ஆப்டிகல் தகவல்தொடர்பு வரிகளுடன் சந்தாதாரர்களை இணைக்க வழங்குநர்களால் பயன்படுத்தப்படுகிறது, கதவு இருப்பது உட்பட 17 பாதுகாப்பு பிரச்சினைகள் அடையாளம் காணப்பட்டன முன் சான்றுகளுடன் இது சாதனங்களின் தொலைநிலைக் கட்டுப்பாட்டை அனுமதிக்கிறது. அங்கீகாரத்தை அனுப்பாமல் தொலைநிலை தாக்குபவர் சாதனத்திற்கு ரூட் அணுகலைப் பெற சிக்கல்கள் அனுமதிக்கின்றன.

இதுவரை, ஃபைபர்ஹோம் HG6245D மற்றும் RP2602 சாதனங்களிலும், ஓரளவு AN5506-04- * சாதனங்களிலும் பாதிப்புகள் உறுதிப்படுத்தப்பட்டுள்ளன, ஆனால் சிக்கல்கள் சோதனை செய்யப்படாத இந்த நிறுவனத்தின் பிற திசைவி மாதிரிகளை பாதிக்கலாம்.

இது அனுசரிக்கப்படுகிறது, இயல்பாக, IPv4 அணுகல் படித்த சாதனங்களில் நிர்வாகி இடைமுகத்திற்கு உள் பிணைய இடைமுகத்துடன் வரையறுக்கப்பட்டுள்ளது, இது உள்ளூர் பிணையத்திலிருந்து மட்டுமே அணுகலை அனுமதிக்கிறது, ஆனால் அதே நேரத்தில், IPv6 அணுகல் எந்த வகையிலும் மட்டுப்படுத்தப்படவில்லை, வெளிப்புற நெட்வொர்க்கிலிருந்து IPv6 ஐ அணுகும்போது இருக்கும் பின் கதவுகளைப் பயன்படுத்த அனுமதிக்கிறது.

வலை இடைமுகத்துடன் கூடுதலாக இது HTTP / HTTPS இல் வேலை செய்கிறது, சாதனங்கள் கட்டளை வரி இடைமுகத்தின் தொலைநிலை செயலாக்கத்திற்கான செயல்பாட்டை வழங்குகின்றன, அவை இதை டெல்நெட் வழியாக அணுகலாம்.

HTTPS வழியாக சிறப்பு கோரிக்கையை அனுப்புவதன் மூலம் CLI செயல்படுத்தப்படுகிறது முன் சான்றுகளுடன். கூடுதலாக, வலை இடைமுகத்திற்கு சேவை செய்யும் http சேவையகத்தில் ஒரு பாதிப்பு (ஸ்டாக் வழிதல்) கண்டறியப்பட்டது, சிறப்பாக உருவாக்கப்பட்ட HTTP குக்கீ மதிப்புடன் கோரிக்கையை அனுப்புவதன் மூலம் சுரண்டப்படுகிறது.

ஃபைபர்ஹோம் HG6245D திசைவிகள் GPON FTTH திசைவிகள். அவை முக்கியமாக தென் அமெரிக்கா மற்றும் தென்கிழக்கு ஆசியாவில் (ஷோடனிலிருந்து) பயன்படுத்தப்படுகின்றன. இந்த சாதனங்கள் போட்டி விலையில் வருகின்றன, ஆனால் அவை மிகவும் சக்திவாய்ந்தவை, நிறைய நினைவகம் மற்றும் சேமிப்பகத்துடன் உள்ளன.

பிற ஃபைபர்ஹோம் சாதனங்களுக்கு எதிராக சில பாதிப்புகள் வெற்றிகரமாக சோதிக்கப்பட்டுள்ளன (AN5506-04-FA, firmware RP2631, ஏப்ரல் 4, 2019). ஃபைபர்ஹோம் சாதனங்கள் மிகவும் ஒத்த குறியீடு தளத்தைக் கொண்டுள்ளன, எனவே பிற ஃபைபர் ஹோம் சாதனங்களும் (AN5506-04-FA, AN5506-04-FAT, AN5506-04-F) பாதிக்கப்படக்கூடியவை.

மொத்தத்தில், ஆராய்ச்சியாளர் 17 பாதுகாப்பு சிக்கல்களை அடையாளம் கண்டுள்ளார், அவற்றில் 7 HTTP சேவையகத்தை பாதிக்கிறது, டெல்நெட் சேவையகத்திற்கு 6 மற்றும் மீதமுள்ளவை கணினி அளவிலான தோல்விகளுடன் தொடர்புடையவை.

ஒரு வருடத்திற்கு முன்னர் அடையாளம் காணப்பட்ட பிரச்சினைகள் குறித்து உற்பத்தியாளருக்கு அறிவிக்கப்பட்டது, ஆனால் தீர்வு குறித்த எந்த தகவலும் கிடைக்கவில்லை.

அடையாளம் காணப்பட்ட சிக்கல்களில் பின்வருபவை:

  • அங்கீகாரத்தை அனுப்புவதற்கு முன் மேடையில் சப்நெட்டுகள், ஃபார்ம்வேர், எஃப்டிடிஎச் இணைப்பு ஐடி, ஐபி மற்றும் மேக் முகவரிகள் பற்றிய தகவல்கள் கசிந்தன.
  • பயனர்களின் கடவுச்சொற்களை பதிவேட்டில் தெளிவான உரையில் சேமிக்கவும்.
  • வயர்லெஸ் நெட்வொர்க்குகள் மற்றும் கடவுச்சொற்களுடன் இணைக்க நற்சான்றுகளின் எளிய உரை சேமிப்பு.
  • HTTP சேவையகத்தில் நிரம்பி வழிகிறது.
  • எஸ்.எஸ்.எல் சான்றிதழ்களுக்கான தனிப்பட்ட விசையின் ஃபார்ம்வேரில் இருப்பது HTTPS வழியாக பதிவிறக்கம் செய்யப்படலாம் ("சுருட்டை https: //host/privkeySrv.pem").

முதல் பகுப்பாய்வில், தாக்குதல் மேற்பரப்பு மிகப்பெரியதல்ல:
- - லானில் இயல்புநிலையாக HTTP / HTTPS மட்டுமே கேட்கிறது
- - வலை நிர்வாக இடைமுகத்தில் கடின குறியீட்டு நற்சான்றுகளைப் பயன்படுத்துவதன் மூலம் போர்ட் 23 / டிசிபியில் டெல்நெட் சிஎல்ஐ (இயல்பாக அணுக முடியாது) ஐ இயக்கவும் முடியும்.

மேலும், ஐபிவி 6 இணைப்பிற்கான ஃபயர்வால் இல்லாததால், அனைத்து உள் சேவைகளும் ஐபிவி 6 வழியாக (இணையத்திலிருந்து) அணுகப்படும்.

டெல்நெட் செயல்படுத்தலுக்காக அடையாளம் காணப்பட்ட கதவு குறித்து, ஆராய்ச்சியாளர் அதைக் குறிப்பிடுகிறார் http சேவையக குறியீட்டில் சிறப்பு கோரிக்கை கையாளுதல் உள்ளது "/ டெல்நெட்", அத்துடன் சலுகை பெற்ற அணுகலுக்கான "/ fh" கையாளுநர்.

கூடுதலாக, கடின குறியீட்டு அங்கீகார அளவுருக்கள் மற்றும் கடவுச்சொற்கள் ஃபார்ம்வேரில் காணப்பட்டன. மொத்தத்தில், http சேவையக குறியீட்டில் 23 கணக்குகள் அடையாளம் காணப்பட்டன, அவை வெவ்வேறு வழங்குநர்களுடன் இணைக்கப்பட்டுள்ளன. சி.எல்.ஐ இடைமுகத்தைப் பொறுத்தவரை, டெல்நெட்டுடன் இணைக்க பொதுவான கடவுச்சொல் "ஜீபான்" ஐ வரையறுப்பதோடு கூடுதலாக ஒரு அடிப்படை 26 ஸ்கிரிப்டை அனுப்புவதன் மூலம் நெட்வொர்க் போர்ட் 64 இல் ரூட் சலுகைகளுடன் தனி டெல்நெட் செயல்முறையைத் தொடங்கலாம்.

இறுதியாக, நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால், உங்களால் முடியும் பின்வரும் இணைப்பைச் சரிபார்க்கவும்.


கருத்து தெரிவிப்பதில் முதலில் இருங்கள்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.