Information

Founded
Location
Латвия
Website
ua-hosting.company
Employees
11–30 employees
Registered
Pull to refresh
165.4
Rating
ua-hosting.company
Хостинг-провайдер: серверы в NL до 300 Гбит/с

В 600 000 модемах «Arris» обнаружили бекдор в бекдоре

ua-hosting.company corporate blogInformation Security
image

По мнению специалиста в области безопасности, 600 000 кабельных модемов Arris удивят пользователей малоприятным сюрпризом под названием «бэкдор в бэкдоре».

Тестировщик ПО из Globo TV Бернардо Родригес опубликовал отчет о скрытых библиотеках, обнаруженных в трех кабельных модемах Arris. В свою очередь, благодаря поисковой системе Shodan, позволяющей исследовать данные о всех подключенных к сети устройствах, были выявлены аналогичные дефекты в 600 000 модемах.

image

Анализируя упомянутый показатель, Родригесу удалось найти бэкдор, ранее несвойственный модемам Arris. Однако, продолжив эксперимент с помощью Shodan, специалист выяснил, что более 600 000 внешних хостов оказались под ударом бэкдора. Исходный бэкдор-пароль администратора, основанный на привычном алгоритме, известен с 2009 года.

Бэкдор скрыт в административной оболочке, отвечающей за работу кабельных модемов. Управлять записью с бэкдором можно удаленно при помощи Telnet и SSH, обращаясь к скрытому интерфейсу администратора HTTP или через стандартные SNMP MIB.

Родригес пояснил, что в роли дефолтного пароля для root-пользователя SSH выступает ‘arris’. Загружая очередную сессию в Telnet, система активизирует оболочку ‘mini_cli’, которая запрашивает пароль бэкдор. Как только пользователь входит в систему посредством утилиты генератора однодневных паролей, его перенаправляют в зону с ограниченным набором команд.

При анализе библиотеки бэкдора и образов с ограниченным набором команд, Родригес выяснил, что в алгоритме скрывался еще один бэкдор. По мнению эксперта, незадокументированный пароль-бэкдор функционирует благодаря пяти последним цифрам серийного номера модема. Авторизация в Telnet / SSH при помощи данных паролей позволяет войти в зону, соответствующую уровню BusyBox.

image

Родригес приходит к выводу, что подобные дефекты устройств «наверняка» использовали в течение некоторого времени. Он утверждает, что «для обнаружения аналогичных слабых мест и бэкдоров, нужно подходить к изучению прошивок более системно, анализирую целые классы устройств и выясняя, какого рода погрешности касаются отдельных видов продуктов».


P.S. Сегодня у нас, как и у многих других, «Black Friday» и, соответственно, большие скидки на серверы.
Tags:Бекдорзащитаинформационная безопасностьуязвимостиоборудованиемодемыua-hosting.company
Hubs: ua-hosting.company corporate blog Information Security
Rating +23
Views 25.4k Add to bookmarks 22
Comments
Comments 2

Top of the last 24 hours