首页 > 清静研究 > 清静转达 > 清静通告

CDATA OLTs中多个0day误差通告

宣布时间 2020-07-08

0x00 误差简介

2020年7月7日,研究职员Pierre披露了CDATA OLT中保存的多个0day误差，，，对产品的多个版本都有影响。。。。。。。研究职员以为这些后门应是CDATA居心开发的，，，因此披露误差的所有细节，，，这些误差的CVE暂未分派。。。。。。。

CDATA OLT是OEM FTTH OLT，，，涉及Cdata、OptiLink、V-SOL CN和BLIY等品牌。。。。。。。一些装备支持多个10 Gb上行链路，，，并提供多达1024个ONT（客户端）的Internet毗连。。。。。。。

FTTH（Fiber To The Home），，，即光纤到户是指将光网络单位（ONU）装置在住家用户或企业用户处，，，是光接入系列中最靠近用户的光接入网应用类型。。。。。。。FTTH的光纤接入手艺有许多种，，，其中一种是GPON。。。。。。。GPON FTTH很是盛行，，，由于它价钱自制，，，并且允许人们快速下载正当的视频点播。。。。。。。

研究职员使用最新固件版本（V1.2.2和2.4.05_000、2.4.04_001和2.4.03_000）在实验室情形中验证了针对FD1104B和FD1108SN OLT的误差。。。。。。。

通过静态剖析，，，这些误差似乎也会影响所有可用的OLT模子，，，由于代码库类似：

? 72408A

? 9008A

? 9016A

? 92408A

? 92416A

? 9288

? 97016

? 97024P

? 97028P

? 97042P

? 97084P

? 97168P

? FD1002S

? FD1104

? FD1104B

? FD1104S

? FD1104SN

? FD1108S

? FD1204S-R2

? FD1204SN

? FD1204SN-R2

? FD1208S-R2

? FD1216S-R1

? FD1608GS

? FD1608SN

? FD1616GS

? FD1616SN

? FD8000

从剖析的二进制文件中，，，我们提取了有关OEM署理商的信息：

Z6·尊龙凯时「中国区」官方网站

从图中可以看到，，，该署理商为西迪特（CDATA），，，深圳市西迪特科技有限公司是一家专注于提供宽带网络接入装备的高科技企业。。。。。。。公司的主要产品包括GPON、EPON网络装备、EOC网络装备、CATV光传输装备。。。。。。。

0x01 误差详情

此次发明的误差包括telnet后门、凭证信息走漏和明文名堂凭证（telnet）、具有root特权的Escape Shell、预身份验证远程DoS、凭证信息走漏和明文凭证（HTTP）、弱加密算法和治理界面不清静，，，下面举行详细先容。。。。。。。

1. telnet后门

攻击者可以从WAN接口和FTTH LAN接口会见telnet效劳，，，获得治理员CLI会见权限。。。。。。。差别的固件有差别的硬编码后门凭证，，，参考如下：

以前的版本可以通过以下方法登录：

password: panger123

最新的新版本可以通过以下方法登录：

password: debug124

password: root126

password: [empty]

凭证已重新旧固件映像中提取。。。。。。。

凭证差别的供应商和固件版本，，，CLI的外观可能有所差别，，，但会见仍然有用。。。。。。。

使用suma123/panger123：

使用guest/[empty]：

Z6·尊龙凯时「中国区」官方网站

使用root/root126：

Z6·尊龙凯时「中国区」官方网站

使用debug/debug124：

有了这些会见权限，，，攻击者就可以对产品举行设置。。。。。。。

2. 凭证信息走漏和明文名堂凭证（telnet）

我们假设攻击者已经具有CLI会见权限（可以通过使用telnet的Backdoor会见来实现）。。。。。。。

攻击者可在CLI中运行下令获取治理员凭证：

Z6·尊龙凯时「中国区」官方网站

3. 具有root特权的Escape Shell

我们假设攻击者具有CLI会见权限（可以通过使用telnet的Backdoor会见来实现）。。。。。。。

CLI中有下令注入功效，，，攻击者可以以root权限执行下令。。。。。。。

下令注入位于TFTP下载设置部分。。。。。。。

我们使用metasploit在192.168.1.101上启动TFTP效劳器，，，并吸收注入下令，，，效果如下：

Z6·尊龙凯时「中国区」官方网站

在OLT上：

Z6·尊龙凯时「中国区」官方网站

在攻击者盘算机上运行的TFTP效劳器上，，，我们收到下令的输出cat /proc/cpuinfo：

Z6·尊龙凯时「中国区」官方网站

也可以使用嵌入式Web效劳器来泄露信息：

在OLT上：

在攻击者机械上：

别的，，，尚有许多下令都可以以root权限执行，，，详细如下：

4. 预身份验证远程DoS

攻击者可以从WAN接口和FTTH LAN接口会见telnet效劳，，，使用基于IA、机械学习和shawarma的模糊手艺，，，重启所有OLT。。。。。。。

Z6·尊龙凯时「中国区」官方网站

装备将在接下来的5秒钟内重启，，，所有的LED都将像圣诞树一样闪灼。。。。。。。

5. 凭证信息走漏和明文凭证（HTTP）

攻击者可以从WAN接口和FTTH LAN接口会见web效劳器，，，攻击者可以通过获取以下文件来提取Web，，，Telnet凭证和SNMP社区字符串（读写）：

Z6·尊龙凯时「中国区」官方网站

使用curl：

Z6·尊龙凯时「中国区」官方网站

6. 弱加密算法

存储密码使用自界说加密算法，，，该算法将密码与硬编码值*j7a(L#yZ98sSd5HfSgGjMj8;Ss;d)(*&^#@$a2s0i3g举行异或，，，如下所示：

7. 治理界面不清静

默认情形下，，，只能使用HTTP、telnet和SNMP远程治理装备，，，不支持HTTPS或SSH，，，攻击者可以阻挡以明文形式发送的密码，，，并通过中心人攻击（MITM）来挟制装备。。。。。。。

0x02 相关新闻

https://seclists.org/fulldisclosure/2020/Jul/7

0x03 参考链接

https://pierrekim.github.io/advisories/2020-cdata-0x00-olt.txt

https://pierrekim.github.io/blog/2020-07-07-cdata-olt-0day-vulnerabilities.html

http://pierrekim.github.io/blog/2016-11-01-gpon-ftth-networks-insecurity.html

0x04 时间线

2020-07-08 VSRC宣布误差通告

Z6·尊龙凯时「中国区」官方网站

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Z6尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系Z6尊龙凯时

清静研究

CDATA OLTs中多个0day误差通告

关于Z6尊龙凯时

解决计划

联系Z6尊龙凯时

7*24小时效劳热线