0x00 漏洞概述

FiberHome(烽火科技)是信息通信領(lǐng)域設(shè)備與網(wǎng)絡(luò)解決方案提供商。近日，F(xiàn)iberHome FTTH ONT路由器被披露至少存在28個后門和漏洞。

0x01 漏洞詳情

FTTH ONT是Fiber-to-the-Home光纖網(wǎng)絡(luò)終端的縮寫，它們是安裝在光纖末端的特殊設(shè)備，作用是將通過光纖發(fā)送的光信號轉(zhuǎn)換為傳統(tǒng)的以太網(wǎng)或無線(WiFi)連接。FTTH ONT路由器通常安裝在公寓樓或選擇千兆用戶的家庭或企業(yè)內(nèi)部。

安全研究人員Pierre Kim在上周披露了他在FiberHome開發(fā)的FTTH ONT路由器中發(fā)現(xiàn)的多個后門和漏洞，攻擊者可能會通過利用這些漏洞來控制ISP基礎(chǔ)架構(gòu)。這些漏洞問題包括：

① 如果從禁用JavaScript的瀏覽器訪問，管理界面會泄露設(shè)備詳細(xì)信息，比如設(shè)備的MAC地址。

② 后門機(jī)制允許攻擊者使用設(shè)備的MAC地址，通過發(fā)送特制的HTTPS請求[https://[ip]/telnet?enable=0&key=calculated(BR0_MAC)]來啟動與路由器的Telnet連接。

③ 管理面板的密碼和認(rèn)證cookie以明文形式存儲在HTTP日志中。

④ 管理界面通過存儲在設(shè)備上的硬編碼SSL證書來保證安全，但該證書可以被下載并用于MitM和其它攻擊。

⑤ 網(wǎng)絡(luò)服務(wù)器(管理面板)包含22個硬編碼憑證的列表，研究人員認(rèn)為這些憑證是由不同的互聯(lián)網(wǎng)服務(wù)提供商添加和使用的。

⑥ 固件還包括用于通過TR-069協(xié)議管理設(shè)備的硬編碼憑證。

⑦ 網(wǎng)絡(luò)服務(wù)器二進(jìn)制中也有加密的憑證。但解密它們的XOR密鑰也在二進(jìn)制文件中，這使得加密變得毫無用處。正如研究人員所指出的，使用同樣的XOR密鑰用于C-Data設(shè)備的固件，也受到類似的后門問題的影響。

⑧ 其中包括一個Telnet服務(wù)器硬編碼root密碼，但這個服務(wù)器默認(rèn)是被禁用的。

⑨ 固件還包括了低級Telnet賬戶的不同硬編碼憑證，研究人員發(fā)現(xiàn)了四個。

⑩ Telnet守護(hù)進(jìn)程中存在一個權(quán)限升級漏洞，允許攻擊者將其權(quán)限提升到root。

? 通過兩種不同的方法，可以完全繞過Telnet認(rèn)證。

? 可以利用拒絕服務(wù)漏洞，使Telnet完全崩潰。

? 其它路由器服務(wù)的各種密碼都以明文形式存儲在固件或路由器的NVRAM中。

烽火HG6245D路由器漏洞細(xì)節(jié)

烽火HG6245D路由器屬于GPON FTTH。截止目前，Zoomeye搜索顯示，全球共34549臺FiberHome HG6245D設(shè)備，其中中國分布22080臺。

以下是針對HG6245D和RP2602中的漏洞的驗(yàn)證：

Config# show version

show version

Hardware version : WKE2.094.277A01

Software version : RP2602

Minor version : 00.00

Basic part version : RP2602

Generate time : Apr 1 201919:38:05

研究人員在2019年4月已經(jīng)針對其它fiberhome家庭設(shè)備(AN5506-04-FA、固件RP2631)成功測試出了一些漏洞。這些設(shè)備的代碼庫相當(dāng)相似，所以很可能所有其它fiberhome設(shè)備(AN5506-04-FA、AN5506-04-FAT和AN5506-04-F)也存在相似漏洞。

攻擊分析：

? 局域網(wǎng)上默認(rèn)只監(jiān)聽HTTP/HTTPS。

? 也可以通過在web管理界面(https://target/fh)上使用硬編碼的憑證，在23/tcp端口上啟用CLI telnetd(默認(rèn)情況下無法訪問)。

此外，由于設(shè)備防火墻僅在IPv4接口上處于活動狀態(tài)，而在IPv6處于不活動狀態(tài)，也就是說，所有的內(nèi)部服務(wù)訪問都可以通過IPv6(從互聯(lián)網(wǎng))來實(shí)現(xiàn)，只要攻擊者知道可訪問設(shè)備的IPv6地址。事實(shí)上，從WAN(使用IPv6)和LAN(IPv4或IPv6)以root身份實(shí)現(xiàn)對設(shè)備的預(yù)認(rèn)證RCE是很簡單的。

這種情況下的web服務(wù)器可以使用以下方式來訪問和控制：

? 啟用專有的CLI telnetd (使用HTTP后門憑證或使用后門/telnet HTTP API或在以前的fiberhome路由器中使用堆棧溢出)

? 使用身份認(rèn)證旁路或后門憑證啟用Linux telnetd。

? 使用后門憑證獲得Linux telnetd上的root shell。

在不同網(wǎng)絡(luò)中，這種情況的示例分為4個步驟：

研究人員表示，漏洞的研究是在2020年初完成的，期間某些漏洞可能已經(jīng)被廠商修復(fù)。此外，從2019年開始，F(xiàn)iberhome設(shè)備都存在許多安全問題。

漏洞摘要

1. IPv6連接不安全

2. HTTP服務(wù)器-HTTP日志中的密碼

3. HTTP服務(wù)器-編碼的SSL證書

4. HTTP服務(wù)器-預(yù)認(rèn)證InfoLeak

5. HTTP服務(wù)器-后門允許telnet訪問

6. HTTP Server-硬編碼憑據(jù)

7. HTTP服務(wù)器-TR-069硬編碼憑據(jù)

8. HTTP Server-憑據(jù)解密算法

9. Telnet服務(wù)器(Linux)-硬編碼憑據(jù)

10. Telnet服務(wù)器(CLI)-硬編碼憑據(jù)

11. Telnet服務(wù)器(CLI)-特權(quán)升級

12. Telnet服務(wù)器(CLI)-身份驗(yàn)證繞過

13. Telnet服務(wù)器(CLI)-繞過身份驗(yàn)證以啟動Linuxtelnetd

14. Telnet服務(wù)器(CLI)-DoS

15. 系統(tǒng)-憑證以明文形式存儲

16. 系統(tǒng)-以明文形式存儲在nvram中的密碼

17. 其他-HTTP服務(wù)器中的遠(yuǎn)程堆棧溢出(AN5506-04-FA / RP2631)

0x02 處置建議

研究人員于2020年1月14日將漏洞信息通知了廠商，目前相關(guān)安全更新暫未發(fā)布。

0x03 參考鏈接

https://pierrekim.github.io/blog/2021-01-12-fiberhome-ont-0day-vulnerabilities.html

https://www.zdnet.com/article/multiple-backdoors-and-vulnerabilities-discovered-in-fiberhome-routers/

0x04 時間線

2021-01-14 Pierre Kim披露漏洞

2021-01-19 VSRC發(fā)布安全通告

0x05 附錄

CVSS評分標(biāo)準(zhǔn)官網(wǎng)：http://www.first.org/cvss/

原文來源：維他命安全