Техническое заявление

Заявление Пьера Кима о раскрытии уязвимостей безопасности в продуктах C-data OLT

Мы заметили статью под названием «Множественные уязвимости, обнаруженные в C-Data OLT», опубликованную в Github. C-Data восхищается работой двух профессионалов в технологических кругах, Пьера Кима и Александра Торреса, и благодарит за выявление проблем с нарушением безопасности путем детального тестирования, а также за их активную работу по снижению рисков пользователей, использующих сетевые продукты. C-Data придерживается философии обслуживания клиентов и всегда ставит интересы клиентов на первое место, а также уделяет особое внимание проблемам безопасности продукции. Таким образом, C-Data может предоставить клиентам продукты с гарантией безопасности.

В то же время мы обратили внимание на некоторые пресс-релизы, опубликованные средствами массовой информации, и интерпретировали технические статьи Пьера Кима и Александра Торреса. Для того, чтобы не позволить большинству клиентов неправильно понять конструкцию безопасности нашего оборудования, C-Data анализирует и разъясняет упомянутые технические проблемы с искренней и откровенной манерой.

Исключая контрафактную продукцию

Учетная запись, упомянутая в этой статье: panger123/suma123. Мы уже проверили счет и пароль. Кроме того, мы подтвердили, что учетная запись и пароль не относятся к продуктам C-Data OLT, а используются другими компаниями и людьми при копировании C-Data OLT. Стиль CLI и большинство его команд поддельного OLT скопированы из C-Data OLT. Оборудование C-Data OLT теперь широко использовано по всему миру, и фальшивомонетчики копируют C-Data OLT для незаконных выгод.

Согласно следующему скриншоту, мы можем полностью сравнить и проанализировать, что аккаунт panger123/suma 123 происходит от незаконно скопированного OLT.

[Реплика стиль командной строки и информацию о версии]

[Информация о версии OLT серии C-Data FD11XX и стиль командной строки]

Если вы используете учетную запись panger123/suma123, вы никогда не сможете получить доступ к C-Data OLT. На следующем рисунке показан перехват информации о неудачной попытке входа в C-Data OLT с учетной записью panger123/suma 123.

В данной статье анализируется проблема «Процесс аутентификации с жестко закодированными учетными данными». Демонстрация показывает, что мы входим в bcm-оболочку OLT и получаем ключевую информацию OLT с помощью метода telnet. Вся соответствующая информация поступает из реплики, а не из C-Data OLT. На скриншотах информация об учетной записи и пароле, отмеченная красным, относится к подделкам.

Введение в несколько учетных записей заводских настроек

Следующие две учетные записи и пароли telnet, упомянутые в этой статье, фактически используются на OLT первого поколения C-Data (OLT, начинающийся с FD11XX):

OLT Telnet аккаунт 1: отладка/debug124

OLT Telnet аккаунт 2: корень/rut126

Эта учетная запись и пароль в основном используются C-Data, чтобы помочь клиентам в отладке проблем и записи производственных параметров. (Информация об адресе Mac OLT и информация SN и т. Д.)

Эта учетная запись должна быть успешно подключена к порту CONSOLE по локальной последовательной линии на OLT, а затем может войти в режим OLT bcm-shell для изменения и просмотра ключевой информации OLT. Используйте этот accout в режиме OLT TELENT, мы можем только ввести CLI устройства, не можем войти в OLT bcm-shell изменить ключевую информацию OLT.

Если атаки хотят войти в режим bcm-shell OLT для получения информации о конфиденциальности устройства или имплантации вредоносных программ в OLT, они должны войти в OLT, напрямую подключив линию последовательного порта компьютера локально. Таким образом, удаленные злоумышленники ни в коем случае не могут использовать эти две учетные записи для атаки.

Поэтому такой ситуации, как «бэкдор-доступ с помощью telnet», не существует.

Кроме того, что касается этих двух учетных записей, C-Data раскрыла требуемым клиентам без оговорок. Обычное использование клиентов происходит, когда им нужно изменить MAC-адрес.

[На следующем рисунке показано, как удаленно войти в C-Data OLT с помощью debug/debug124 и root/root 126, и как попытаться войти в подсказку режима оболочки. Кроме того, подсказка OLT поддерживает ввод bcm-shell только при прямом подключении CONSOLE.]

Другой сценарий использования debug/debug124 и root/root 126-это когда C-Data предоставляет удаленную техническую поддержку по запросу клиента. Весь удаленный доступ C-Data получил согласие клиента после консультации с клиентами. При работе оператору необходимо удаленно войти в компьютер клиента, затем войти в устройство, используя локальные последовательные порты этих двух учетных записей, и таким образом работать с заказчиком для анализа позиционирования сетевых проблем. Технические специалисты заказчика будут участвовать и контролировать т.Процесс технического обслуживания на протяжении всего процесса.

Что касается того, существует ли проблема, когда злоумышленник входит в CLI, используя эти две учетные записи через TELNET, а затем изменяет конфигурацию OLT, что приводит к проблемам безопасности сети, мы подробнее объясним это в политике безопасности позже.

OLT Telnet Аккаунт 3: гость/[пусто]

Учетная запись и пароль-это учетная запись заводской конфигурации по умолчанию, которая может проверять только некоторую основную информацию OLT и не иметь полномочий для настройки любого OLT. Пользователь может удалить или изменить учетную запись по мере необходимости при ее использовании.

Решение: Поскольку FD11XX серии OLT является первым поколением моделей C-DataOLT, правила учетной записи и пароля которых полностью не учтены. Пароль по умолчанию является фиксированным и слишком простым, что может быть использовано преступниками. C-Data немедленно обновит и выпустит версию программного обеспечения этого продукта OLT. В последней версии отладочная учетная запись больше не будет принимать общий фиксированный пароль, и пароль будет сгенерирован специальным инструментом генерации пароля в соответствии с уникальным идентификационным кодом, прикрепленным к устройству. Если нет информации об уникальном идентификационном коде устройства или инструмента генерации пароля, пароль не может быть получен.

Более безопасный криптографический механизм

Для других моделей C-Data OLT (OLT под названием FD15XX, FD16XX, FD12XX, FD8000) проблема «Backdoor Access with telnet» не существует, потому что эти OLT используют более безопасный криптографический механизм. Устройство настроено с несколькими общими учетными записями по заводским настройкам, включая root/admin, admin/admin и guest/guest, которые могут использоваться клиентами для первоначальной настройки OLT. Клиентам необходимо создавать, удалять и изменять учетную запись и пароль устройства в соответствии с их собственными политиками безопасности при использовании устройства. Мы не рекомендуем использовать заводские имя пользователя и пароль по умолчанию в операционной сети.

Устройство сохраняет отладочную учетную запись для оказания помощи клиентам в отладке и решении проблем, и эта учетная запись также может использоваться клиентом для поиска забытого пароля, когда они забывают пароль для входа в систему OLT. Однако учетная запись больше не использует общий пароль, и пароль рассчитывается и генерируется в соответствии с уникальной идентификационной информацией OLT клиента. Только когда клиент предоставляет информацию уникального идентификационного кода в сочетании со специальным инструментом генерации пароля, пароль может быть сгенерирован. Пароль у каждого OLT разный, что лучше обеспечит безопасность устройства.

Требования к управлению логином WEB

Имя пользователя и пароль, отображаемые в этой статье, на самом деле являются потребностями многих пользователей. Учетная запись и пароль-это имя пользователя и пароль для входа в интерфейс веб-управления OLT. Поскольку многие клиенты считают, что некоторые из их младшего обслуживающего персонала могут легко забыть войти в систему под именем пользователя и паролем интерфейса управления OLT WEB, и надеются, что менеджеры более высокого уровня могут запросить имя пользователя и пароль WEB через OLT CLI, мы предоставляем эту команду по запросу клиента, Чтобы клиенты могли самостоятельно проверить имя пользователя и пароль на WEB через командную строку. Мы считаем, что заказчик может сформулировать эффективную систему управления безопасностью, правильно управлять использованием логинов и паролей, чтобы избежать риска использования этой команды.

Стратегии и предложения безопасности

В статье представлены несколько схем, которые могут быть использованы для атаки на C-DataOLT после знания учетной записи и пароля C-Data «Backdoor Access with telnet» с точки зрения рисков сетевой безопасности. C-Databelieves гарантирует, что у большинства клиентов есть набор мер, подходящих для их собственной защиты от кибератак. Ниже будут перечислены общие меры по защите от кибератак со стороны клиента. Эти меры могут защитить СОТ от следующих средств нападения, упомянутых в статье:

* Побег оболочки с привилегиями root

* Удаленный DoS до аута

* Учетные данные и учетные данные в открытом тексте (HTTP)

* Слабый алгоритм шифрования

* Небезопасные интерфейсы управления

Стратегия защиты 1: В общем сетевом планировании все VLAN управления OLT и VLAN обслуживания на стороне клиента различны. Если VLAN управления, используемый злоумышленником, неправильен, этот вид планирования делает невозможным доступ к оборудованию OLT со стороны сети OLT (восходящий канал связи) или стороны пользователя (нисходящий канал к ONU).

Стратегия защиты 2: OLT используется в качестве устройства уровня доступа. Для многих малых и средних интернет-провайдеров OLT обычно развертывается в интрасети своей сети. Когда интрасеть переходит в общедоступную сеть, онаПройдет через маршрутизатор или устройство брандмауэра. Такие услуги, как telnet и http, отключены на маршрутизаторе и брандмауэре; Те, кто получают доступ к OLT, являются сотрудниками, которые имеют доступ к OLT в интрасети клиента; Действительно, если есть другой персонал, которому необходимо получить доступ к устройству OLT в интрасети через общедоступную сеть, Им нужно делать переадресацию портов на маршрутизаторе или брандмауэре, а правила переадресации знает только заказчик, поэтому злоумышленнику сложно получить информацию и провести атаку.

Стратегия защиты 3: OLT C-Data сделала много стратегий управления, которые устанавливаются самими клиентами, и это может полностью предотвратить незаконный вход сетевых злоумышленников в устройство:

Стратегия настройки OLT 1:

Он может быть проконтролирован управлением доступом системы OLT для того чтобы позволить некоторым специфическим IP-адресам или mac получить доступ к прибору OLT настроенному клиентом и совершенно неизвестен к другим.

Стратегия настройки OLT 2:

Outband acess OLT может быть включен или выключен заказчиком. Клиенты могут отключить управление внешним доступом и использовать управление внешним доступом. В этом случае управление устройствами осуществляется через выделенный канал управления, отделенный от бизнес-данных, таким образом, безопасность сети выше.

Стратегия настройки OLT 3:

Порт доступа к сети OLT может быть изменен клиентом и может быть закрыт и открыт клиентом.

Стратегия настройки OLT 4:

OLT может быть сконфигурирован с идеальной функцией acl, чтобы предотвратить легкую атаку на устройство.

Заключение

Статья Пьера Кима и Александра Торреса подробно подытоживает и серьезно тестирует устройство C-Data с точки зрения уязвимостей безопасности. Первоначальное намерение оригинальной статьи состояло в том, чтобы обратная связь с уязвимостями безопасности в устройстве, чтобы технические специалисты и пользователи замечали риски безопасности и выполняли эффективные меры предосторожности, а не значение «бэкдора устройства OLT», когда средства массовой информации передавали распространение, и не должны интерпретироваться как C-Data намеренно оставил бэкдор на продукте. C-Data ожидает, что продукты предоставят клиентам лучший опыт и сделают его более удобным для них в использовании устройства. C-Data может помочь клиентам лучше разработать стратегии защиты в области кибербезопасности. C-Data также приветствует все стороны, чтобы выдвинуть разумные предложения, чтобы устройство C-Data могло уделять больше внимания вопросам безопасности клиентов и путанице при использовании устройства под предпосылкой обеспечения удобства и практичности для клиентов. Спасибо тебе!

Добавление:

Оригинальный источник документа:

https:// pierrekim.github.io/блог/2020-07-07-C-Data-olt-0day-vulnerabilities.html

Перепечатка онлайн СМИ:

https://www.zdnet.com/article/backdoor-accounts-discovered-in-29-ftth-devices-from-chinese-vendor-c-data/