回归最本质的信息安全

上万台调制解调器被爆内置多组后门账号,美国AT&T家庭用户或受威胁

2017年9月1日发布

31,815
0
0

导语:攻击者利用三个后门账号中任意一个均可控制设备,提升至ROOT权限、安装新固件,乃至于架设僵尸网络等。

近日,安全研究人员发现知名电信设备制造商Arris生产的调制解调器存在5个安全漏洞,其中有3个是硬编码后门账号漏洞。攻击者利用三个后门账号均可控制设备,提升至ROOT权限、安装新固件,乃至于架设僵尸网络等。

Arris.jpg

有问题的调制解调器型号为Arris NVG589、Arris NVG599,主要在美国宽带运营商AT&T的网络里使用,但在Arris官网找不到信息(停产产品?)。Nomotion研究人员推测,它们可能是专为AT&T家庭用户定制的入网设备。

根据Censys和Shodan扫描数据评估,研究人员认为目前在线的易受漏洞攻击调制解调器至少有22万台。

以下为Nomotion发现漏洞的大致细节:

后门#1

调制解调器默认启用SSH并允许互联网连接,攻击者使用内置的默认账号密码“remotessh/5SaP9I26”访问,可以直接获得ROOT权限,执行任意操作。

研究人员称,他们发现网上大约有15000台设备存在该问题,这很可能是因为运营商或者设备制造商阻止了大多数设备的SSH外部连接。

后门#2

Arris调制解调器有个内置Web服务器,攻击者通过49955端口使用“tech/空”账号密码即可访问后台管理面板。

命令注入

该Web服务器还容易受到命令注入漏洞攻击,攻击者可以在Web服务器环境拿到Shell权限,考虑到这其实就是设备的管理系统,权限非常高了。

Nomotion表示有超过22万台设备容易被命令注入漏洞攻击,攻击者只需对设备的49955端口发送错误格式的网络请求,运营商可能会过滤这类恶意利用请求。

后门#3

攻击者可以使用账号密码“bdctest/bdctest”账号密码在61001端口访问设备,前提是需要知道设备的序列号。

这个漏洞不太容易被利用,不过只要拿到序列号并访问设备,便能获得WiFi密码、设备MAC地址等信息。

防火墙绕过

攻击者在49152端口发送特定的HTTP请求,可绕过调试解调器内置防火墙并打开TCP代理连接,并继续利用之前的四个漏洞。

攻击者只需从Shodan、Censys、ZoomEye等搜索服务获取调试解调器的IP,就可以滥用这些漏洞。

Nomotion称:“观测到的每台AT&T设备都开放49152端口,并对请求进行了回应。”

最后

研究人员目前没有发现五个漏洞有被野外利用的证据。对于使用Arris问题调试解调器的用户,他们公布了基本的缓解指南,大家可以访问报告查看。

目前尚不清楚AT&T和Arris的状况,嘶吼将关注事件进一步进展。

本文翻译自https://www.bleepingcomputer.com/news/security/three-hardcoded-backdoor-accounts-discovered-in-arris-modems/,如若转载,请注明原文地址: http://www.4hou.com/info/news/7522.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

星辰

星辰

这个人很懒,什么也没留下

发私信

发表评论