Trên bộ định tuyến FiberHome được các nhà cung cấp sử dụng để kết nối các thuê bao với đường truyền quang GPON, 17 vấn đề bảo mật được xác định, bao gồm cả sự hiện diện của backdoor với thông tin xác thực được xác định trước cho phép điều khiển thiết bị từ xa. Các sự cố cho phép kẻ tấn công từ xa có quyền truy cập root vào thiết bị mà không cần thông qua xác thực.
Cho đến nay, sự hiện diện của lỗ hổng đã được xác nhận trong các thiết bị FiberHome HG6245D và RP2602, cũng như một phần trong các thiết bị AN5506-04-*, nhưng có thể sự cố này ảnh hưởng đến các mẫu bộ định tuyến khác của công ty này chưa được thử nghiệm.
Người ta quan sát thấy rằng, Theo mặc định, quyền truy cập IPv4 vào giao diện quản trị viên trên các thiết bị được nghiên cứu bị giới hạn ở giao diện mạng nội bộ, chỉ cho phép truy cập từ mạng cục bộ, nhưng tại cùng một thời điểm, Truy cập IPv6 không bị giới hạn dưới bất kỳ hình thức nào, cho phép sử dụng các cửa hậu hiện có khi truy cập IPv6 từ mạng bên ngoài.
Ngoài giao diện web hoạt động trên HTTP/HTTPS, các thiết bị cung cấp chức năng kích hoạt từ xa giao diện dòng lệnh, để có thể được truy cập thông qua telnet.
CLI được kích hoạt bằng cách gửi yêu cầu đặc biệt qua HTTPS với thông tin xác thực được xác định trước. Ngoài ra, một lỗ hổng (tràn ngăn xếp) đã được phát hiện trong máy chủ http phục vụ giao diện web, bị khai thác bằng cách gửi yêu cầu có giá trị cookie HTTP được tạo đặc biệt.
Bộ định tuyến FiberHome HG6245D là bộ định tuyến GPON FTTH. Chúng chủ yếu được sử dụng ở Nam Mỹ và Đông Nam Á (Shodan). Những thiết bị này có mức giá cạnh tranh nhưng rất mạnh mẽ, có nhiều bộ nhớ và dung lượng lưu trữ.
Một số lỗ hổng đã được thử nghiệm thành công trên các thiết bị Fiberhome khác (AN5506-04-FA, firmware RP2631, ngày 4 tháng 2019 năm 5506). Các thiết bị Fiberhome có cơ sở mã khá giống nhau nên rất có thể các thiết bị Fiberhome khác (AN04-5506-FA, AN04-5506-FAT, AN04-XNUMX-F) cũng dễ bị tấn công.
Tổng cộng, Nhà nghiên cứu đã xác định được 17 vấn đề bảo mật, trong đó có 7 vấn đề ảnh hưởng đến máy chủ HTTP, 6 đến máy chủ telnet và phần còn lại có liên quan đến lỗi toàn hệ thống.
Nhà sản xuất đã được thông báo về các vấn đề được xác định cách đây một năm, nhưng vẫn chưa nhận được thông tin nào về giải pháp.
Trong số các vấn đề được xác định là:
- Thông tin bị rò rỉ về mạng con, chương trình cơ sở, ID kết nối FTTH, địa chỉ IP và MAC ở giai đoạn trước khi chuyển xác thực.
- Lưu mật khẩu người dùng trong sổ đăng ký ở dạng văn bản rõ ràng.
- Xóa thông tin lưu trữ văn bản để kết nối với mạng không dây và mật khẩu.
- Tràn ngăn xếp trên máy chủ HTTP.
- Sự hiện diện trong chương trình cơ sở của khóa riêng cho chứng chỉ SSL, khóa này có thể được tải xuống qua HTTPS ("curl https: //host/privkeySrv.pem").
Ở phân tích đầu tiên, bề mặt tấn công không lớn:
– – chỉ HTTP/HTTPS được nghe theo mặc định trên mạng LAN
– – Cũng có thể kích hoạt telnetd CLI (không truy cập được theo mặc định) trên cổng 23/tcp bằng cách sử dụng thông tin xác thực được mã hóa cứng trong giao diện quản lý web.Ngoài ra, do thiếu tường lửa để kết nối IPv6, tất cả các dịch vụ nội bộ sẽ có thể truy cập được qua IPv6 (từ Internet).
Về cửa sau được xác định để kích hoạt telnet, nhà nghiên cứu đề cập rằng Mã máy chủ http chứa trình xử lý yêu cầu đặc biệt "/telnet", cũng như trình xử lý "/fh" dành cho quyền truy cập đặc quyền.
Ngoài ra, mật khẩu và thông số xác thực được tìm thấy đã được mã hóa trong phần sụn. Tổng cộng có 23 tài khoản đã được xác định trong mã máy chủ http, được liên kết với các nhà cung cấp khác nhau. Và đối với giao diện CLI, trong phần này, bạn có thể bắt đầu một quy trình telnetd riêng biệt với quyền root trên cổng mạng 26 bằng cách chuyển tập lệnh base64 ngoài việc xác định mật khẩu chung "GEPON" để kết nối với telnet.
Cuối cùng, nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra liên kết sau.