您所在的位置: 首頁 >
安全研究 >
安全通告 >
FiberHome路由器多個后門和漏洞
0x00 漏洞概述
FiberHome(烽火科技)是信息通信領(lǐng)域設(shè)備與網(wǎng)絡(luò)解決方案提供商。近日,F(xiàn)iberHome FTTH ONT路由器被披露至少存在28個后門和漏洞。
0x01 漏洞詳情
FTTH ONT是Fiber-to-the-Home光纖網(wǎng)絡(luò)終端的縮寫,它們是安裝在光纖末端的特殊設(shè)備,作用是將通過光纖發(fā)送的光信號轉(zhuǎn)換為傳統(tǒng)的以太網(wǎng)或無線(WiFi)連接。FTTH ONT路由器通常安裝在公寓樓或選擇千兆用戶的家庭或企業(yè)內(nèi)部。
安全研究人員Pierre Kim在上周披露了他在FiberHome開發(fā)的FTTH ONT路由器中發(fā)現(xiàn)的多個后門和漏洞,攻擊者可能會通過利用這些漏洞來控制ISP基礎(chǔ)架構(gòu)。這些漏洞問題包括:
① 如果從禁用JavaScript的瀏覽器訪問,管理界面會泄露設(shè)備詳細信息,比如設(shè)備的MAC地址。
② 后門機制允許攻擊者使用設(shè)備的MAC地址,通過發(fā)送特制的HTTPS請求[https://[ip]/telnet?enable=0&key=calculated(BR0_MAC)]來啟動與路由器的Telnet連接。
③ 管理面板的密碼和認證cookie以明文形式存儲在HTTP日志中。
④ 管理界面通過存儲在設(shè)備上的硬編碼SSL證書來保證安全,但該證書可以被下載并用于MitM和其它攻擊。
⑤ 網(wǎng)絡(luò)服務(wù)器(管理面板)包含22個硬編碼憑證的列表,研究人員認為這些憑證是由不同的互聯(lián)網(wǎng)服務(wù)提供商添加和使用的。
⑥ 固件還包括用于通過TR-069協(xié)議管理設(shè)備的硬編碼憑證。
⑦ 網(wǎng)絡(luò)服務(wù)器二進制中也有加密的憑證。但解密它們的XOR密鑰也在二進制文件中,這使得加密變得毫無用處。正如研究人員所指出的,使用同樣的XOR密鑰用于C-Data設(shè)備的固件,也受到類似的后門問題的影響。
⑧ 其中包括一個Telnet服務(wù)器硬編碼root密碼,但這個服務(wù)器默認是被禁用的。
⑨ 固件還包括了低級Telnet賬戶的不同硬編碼憑證,研究人員發(fā)現(xiàn)了四個。
⑩ Telnet守護進程中存在一個權(quán)限升級漏洞,允許攻擊者將其權(quán)限提升到root。
? 通過兩種不同的方法,可以完全繞過Telnet認證。
? 可以利用拒絕服務(wù)漏洞,使Telnet完全崩潰。
? 其它路由器服務(wù)的各種密碼都以明文形式存儲在固件或路由器的NVRAM中。
烽火HG6245D路由器漏洞細節(jié)
烽火HG6245D路由器屬于GPON FTTH。截止目前,Zoomeye搜索顯示,全球共34549臺FiberHome HG6245D設(shè)備,其中中國分布22080臺。
以下是針對HG6245D和RP2602中的漏洞的驗證:
Config# show version
show version
Hardware version : WKE2.094.277A01
Software version : RP2602
Minor version : 00.00
Basic part version : RP2602
Generate time : Apr 1 201919:38:05
研究人員在2019年4月已經(jīng)針對其它fiberhome家庭設(shè)備(AN5506-04-FA、固件RP2631)成功測試出了一些漏洞。這些設(shè)備的代碼庫相當相似,所以很可能所有其它fiberhome設(shè)備(AN5506-04-FA、AN5506-04-FAT和AN5506-04-F)也存在相似漏洞。
攻擊分析:
? 局域網(wǎng)上默認只監(jiān)聽HTTP/HTTPS。
? 也可以通過在web管理界面(https://target/fh)上使用硬編碼的憑證,在23/tcp端口上啟用CLI telnetd(默認情況下無法訪問)。
此外,由于設(shè)備防火墻僅在IPv4接口上處于活動狀態(tài),而在IPv6處于不活動狀態(tài),也就是說,所有的內(nèi)部服務(wù)訪問都可以通過IPv6(從互聯(lián)網(wǎng))來實現(xiàn),只要攻擊者知道可訪問設(shè)備的IPv6地址。事實上,從WAN(使用IPv6)和LAN(IPv4或IPv6)以root身份實現(xiàn)對設(shè)備的預(yù)認證RCE是很簡單的。
這種情況下的web服務(wù)器可以使用以下方式來訪問和控制:
? 啟用專有的CLI telnetd (使用HTTP后門憑證或使用后門/telnet HTTP API或在以前的fiberhome路由器中使用堆棧溢出)
? 使用身份認證旁路或后門憑證啟用Linux telnetd。
? 使用后門憑證獲得Linux telnetd上的root shell。
在不同網(wǎng)絡(luò)中,這種情況的示例分為4個步驟:
研究人員表示,漏洞的研究是在2020年初完成的,期間某些漏洞可能已經(jīng)被廠商修復(fù)。此外,從2019年開始,F(xiàn)iberhome設(shè)備都存在許多安全問題。
漏洞摘要
1. IPv6連接不安全
2. HTTP服務(wù)器-HTTP日志中的密碼
3. HTTP服務(wù)器-編碼的SSL證書
4. HTTP服務(wù)器-預(yù)認證InfoLeak
5. HTTP服務(wù)器-后門允許telnet訪問
6. HTTP Server-硬編碼憑據(jù)
7. HTTP服務(wù)器-TR-069硬編碼憑據(jù)
8. HTTP Server-憑據(jù)解密算法
9. Telnet服務(wù)器(Linux)-硬編碼憑據(jù)
10. Telnet服務(wù)器(CLI)-硬編碼憑據(jù)
11. Telnet服務(wù)器(CLI)-特權(quán)升級
12. Telnet服務(wù)器(CLI)-身份驗證繞過
13. Telnet服務(wù)器(CLI)-繞過身份驗證以啟動Linuxtelnetd
14. Telnet服務(wù)器(CLI)-DoS
15. 系統(tǒng)-憑證以明文形式存儲
16. 系統(tǒng)-以明文形式存儲在nvram中的密碼
17. 其他-HTTP服務(wù)器中的遠程堆棧溢出(AN5506-04-FA / RP2631)
0x02 處置建議
研究人員于2020年1月14日將漏洞信息通知了廠商,目前相關(guān)安全更新暫未發(fā)布。
0x03 參考鏈接
https://pierrekim.github.io/blog/2021-01-12-fiberhome-ont-0day-vulnerabilities.html
https://www.zdnet.com/article/multiple-backdoors-and-vulnerabilities-discovered-in-fiberhome-routers/
0x04 時間線
2021-01-14 Pierre Kim披露漏洞
2021-01-19 VSRC發(fā)布安全通告
0x05 附錄
CVSS評分標準官網(wǎng):http://www.first.org/cvss/
原文來源:維他命安全