На маршрутизаторах FiberHome використовується постачальниками для підключення абонентів до ліній оптичного зв'язку GPON, Виявлено 17 питань безпеки, в тому числі наявність задніх дверей із заздалегідь визначеними даними які дозволяють дистанційно керувати обладнанням. Проблеми дозволяють віддаленому зловмиснику отримати root-доступ до пристрою без проходження автентифікації.
Наразі вразливості були підтверджені в пристроях FiberHome HG6245D та RP2602, а також частково в пристроях AN5506-04- *, але проблеми можуть торкнутися інших моделей маршрутизаторів цієї компанії, які не були протестовані.
Зазначається, що, за замовчуванням доступ до IPv4 до інтерфейсу адміністратора на досліджуваних пристроях обмежується внутрішнім мережевим інтерфейсом, дозволяючи доступ лише з локальної мережі, але в той же час, Доступ до IPv6 жодним чином не обмежений, дозволяючи використовувати існуючі задні двері при доступі до IPv6 із зовнішньої мережі.
На додаток до веб-інтерфейсу що працює через HTTP / HTTPS, пристрої забезпечують функцію віддаленої активації інтерфейсу командного рядка, до якої доступ до нього можна отримати за допомогою telnet.
CLI активується шляхом надсилання спеціального запиту через HTTPS із заздалегідь визначеними даними. Крім того, на сервері http, що обслуговує веб-інтерфейс, була виявлена вразливість (переповнення стека), яка використовувалась шляхом надсилання запиту зі спеціально сформованим значенням файлу cookie HTTP.
Маршрутизатори FiberHome HG6245D - це маршрутизатори GPON FTTH. В основному вони використовуються в Південній Америці та Південно-Східній Азії (від Шодана). Ці пристрої мають конкурентоспроможні ціни, але дуже потужні, мають багато пам’яті та пам’яті.
Деякі вразливості були успішно перевірені на інших пристроях fiberhome (AN5506-04-FA, прошивка RP2631, 4 квітня 2019 р.). Пристрої fiberhome мають досить подібну базу коду, тому інші домашні волоконні пристрої (AN5506-04-FA, AN5506-04-FAT, AN5506-04-F), ймовірно, також вразливі.
Всього дослідник виявив 17 проблем безпеки, з яких 7 впливають на сервер HTTP, 6 на сервер telnet, а решта пов'язані із загальносистемними збоями.
Виробник був повідомлений про проблеми, виявлені рік тому, але жодної інформації щодо рішення не надійшло.
Серед виявлених проблем є такі:
- Витік інформації про підмережі, прошивку, ідентифікатор з'єднання FTTH, IP та MAC-адреси на етапі перед проходженням автентифікації.
- Зберігайте паролі користувачів у реєстрі чистим текстом.
- Звичайне текстове зберігання облікових даних для підключення до бездротових мереж та паролів.
- Переповнення стека на сервері HTTP.
- Наявність у прошивці приватного ключа для сертифікатів SSL, який можна завантажити через HTTPS ("curl https: //host/privkeySrv.pem").
У першому аналізі поверхня атаки не є величезною:
- - за замовчуванням у локальній мережі прослуховується лише HTTP / HTTPS
- - Також можна увімкнути інтерфейс інтерфейсу клієнта telnetd (недоступний за замовчуванням) на порту 23 / tcp, використовуючи жорстко закодовані облікові дані в інтерфейсі веб-адміністрування.Крім того, через відсутність брандмауера для підключення IPv6, усі внутрішні служби будуть доступні через IPv6 (з Інтернету).
Щодо бекдору, визначеного для активації telnet, дослідник згадує це Код сервера http містить спеціальний обробник запитів "/ Telnet", а також "/ fh" обробник для привілейованого доступу.
Крім того, у мікропрограмі були знайдені жорстко закодовані параметри автентифікації та паролі. Загалом у коді сервера http було ідентифіковано 23 облікові записи, пов’язані з різними провайдерами. Що стосується інтерфейсу CLI, то можна розпочати окремий процес telnetd з правами root на мережевому порту 26, передавши скрипт base64 на додаток до визначення загального пароля "GEPON" для підключення до telnet.
Нарешті, якщо вам цікаво дізнатись більше про це, ви можете перевірте наступне посилання.