首页 > 安全钻研 > 安全传递 > 安全公告

CDATA OLTs中多个0day缝隙公告

颁布功夫 2020-07-08

0x00 缝隙简介

2020年7月7日,钻研人员Pierre披露了CDATA OLT中存在的多个0day缝隙，对产品的多个版本都有影响。钻研人员以为这些后门应是CDATA有意开发的，因而披露缝隙的全数细节，这些缝隙的CVE暂未分配。

CDATA OLT是OEM FTTH OLT，涉及Cdata、OptiLink、V-SOL CN和BLIY等品牌。一些设备支持多个10 Gb上行链路，并提供多达1024个ONT（客户端）的Internet衔接。

FTTH（Fiber To The Home），即光纤到户是指将光网络单元（ONU）装置在住家用户或企业用户处，是光接入系列中最靠近用户的光接入网利用类型。FTTH的光纤接入技术有好多种，其中一种是GPON。GPON FTTH极度盛行，由于它价值便宜，并且允许人们急剧下载合法的视频点播。

钻研人员使用最新固件版本（V1.2.2和2.4.05_000、2.4.04_001和2.4.03_000）在尝试室环境中验证了针对FD1104B和FD1108SN OLT的缝隙。

通过静态分析，这些缝隙似乎也会影响所有可用的OLT模型，由于代码库类似：

? 72408A

? 9008A

? 9016A

? 92408A

? 92416A

? 9288

? 97016

? 97024P

? 97028P

? 97042P

? 97084P

? 97168P

? FD1002S

? FD1104

? FD1104B

? FD1104S

? FD1104SN

? FD1108S

? FD1204S-R2

? FD1204SN

? FD1204SN-R2

? FD1208S-R2

? FD1216S-R1

? FD1608GS

? FD1608SN

? FD1616GS

? FD1616SN

? FD8000

从分析的二进造文件中，我们提取了有关OEM代理商的信息：

GA黄金甲·(中国区)官方网站

从图中能够看到，该代理商为西迪特（CDATA），深圳市西迪特科技有限公司是一家专一于提供宽带网络接入设备的高科技企业。公司的重要产品蕴含GPON、EPON网络设备、EOC网络设备、CATV光传输设备。

0x01 缝隙详情

这次发现的缝隙蕴含telnet后门、凭证信息泄漏和明文体式凭证（telnet）、拥有root特权的Escape Shell、预身份验证远程DoS、凭证信息泄漏和明文凭证（HTTP）、弱加密算法和治理界面不安全，下面进行具体介绍。

1. telnet后门

攻击者能够从WAN接口和FTTH LAN接口接见telnet服务，获得治理员CLI接见权限。分歧的固件有分歧的硬编码后门凭证，参考如下：

以前的版本能够通过以下方式登录：

password: panger123

最新的新版本能够通过以下方式登录：

password: debug124

password: root126

password: [empty]

凭证已从新旧固件映像中提取。

凭据分歧的供给商和固件版本，CLI的表观可能有所分歧，但接见依然有效。

使用suma123/panger123：

使用guest/[empty]：

GA黄金甲·(中国区)官方网站

使用root/root126：

GA黄金甲·(中国区)官方网站

使用debug/debug124：

有了这些接见权限，攻击者就能够对产品进行配置。

2. 凭证信息泄漏和明文体式凭证（telnet）

我们如果攻击者已经拥有CLI接见权限（能够通过使用telnet的Backdoor接见来实现）。

攻击者可在CLI中运行号令获取治理员痛处：

GA黄金甲·(中国区)官方网站

3. 拥有root特权的Escape Shell

我们如果攻击者拥有CLI接见权限（能够通过使用telnet的Backdoor接见来实现）。

CLI中有号令注入职能，攻击者能够以root权限执行号令。

号令注入位于TFTP下载配置部门。

我们使用metasploit在192.168.1.101上启动TFTP服务器，并接管注入号令，了局如下：

GA黄金甲·(中国区)官方网站

在OLT上：

GA黄金甲·(中国区)官方网站

在攻击者推算机上运行的TFTP服务器上，我们收到号令的输出cat /proc/cpuinfo：

GA黄金甲·(中国区)官方网站

也能够利用嵌入式Web服务器来泄露信息：

在OLT上：

在攻击者机械上：

此表，还有好多号令都能够以root权限执行，具体如下：

4. 预身份验证远程DoS

攻击者能够从WAN接口和FTTH LAN接口接见telnet服务，使用基于IA、机械进建和shawarma的吞吐技术，沉启所有OLT。

GA黄金甲·(中国区)官方网站

设备将在接下来的5秒钟内沉启，所有的LED都将像圣诞树一样闪动。

5. 凭证信息泄漏和明文凭证（HTTP）

攻击者能够从WAN接口和FTTH LAN接口接见web服务器，攻击者能够通过获取以下文件来提取Web，Telnet凭证和SNMP社区字符串（读写）：

GA黄金甲·(中国区)官方网站

使用curl：

GA黄金甲·(中国区)官方网站

6. 弱加密算法

存储密码使用自界说加密算法，该算法将密码与硬编码值*j7a(L#yZ98sSd5HfSgGjMj8;Ss;d)(*&^#@$a2s0i3g进行异或，如下所示：

7. 治理界面不安全

默认情况下，只能使用HTTP、telnet和SNMP远程治理设备，不支持HTTPS或SSH，攻击者能够拦截以明文大局发送的密码，并通过中央人攻击（MITM）来劫持设备。

0x02 有关新闻

https://seclists.org/fulldisclosure/2020/Jul/7

0x03 参考链接

https://pierrekim.github.io/advisories/2020-cdata-0x00-olt.txt

https://pierrekim.github.io/blog/2020-07-07-cdata-olt-0day-vulnerabilities.html

http://pierrekim.github.io/blog/2016-11-01-gpon-ftth-networks-insecurity.html

0x04 功夫线

2020-07-08 VSRC颁布缝隙公告

GA黄金甲·(中国区)官方网站

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

CDATA OLTs中多个0day缝隙公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线