Исследователи безопасности обнаружили пять зияющих дыр в прошивке, работающей на модемах Arris, три из которых являются жестко запрограммированными бэкдор-аккаунтами.
Злоумышленник может использовать любую из этих трех учетных записей для доступа и захвата устройства с повышенными привилегиями – даже с правами root – установить новую прошивку и заманить модем в более крупный ботнет.
Уязвимости обнаружились после обзора прошивки Arris, проведенного экспертами Nomotion Labs.
Согласно Nomotion, недостатки обнаружены как в стандартной прошивке Arris, так и в дополнительном коде, добавленном OEM-производителями. В своем исследовании эксперты рассмотрели модем Arris, установленный в сети AT&T.
Исследователи заявили, что недостатки затрагивают модемы NVG589 и NVG599. Обе модели недоступны на веб-сайте Arris и, похоже, сняты с производства. Основываясь на данных Censys и Shodan, исследователи полагают, что к сети подключено не менее 220 000 таких уязвимых модемов.
Ниже приводится краткое изложение всех обнаруженных исследователями недостатков:
Бэкдор №1
Модемы поставляются с включенным по умолчанию SSH и доступным для внешних подключений. Злоумышленники могут использовать комбинацию имени пользователя и пароля по умолчанию «remotessh / 5SaP9I26» для аутентификации на любом модеме с корневым доступом – это означает, что злоумышленник может делать на устройстве все, что ему заблагорассудится.
Исследователи заявили, что они идентифицировали только около 15 000 модемов Arris с этим бэкдором, то есть интернет-провайдеры или OEM-производители, скорее всего, заблокировали внешний SSH-доступ к большинству устройств.
Бэкдор # 2
Модемы Arris поставляются со встроенным веб-сервером, на котором работает его внутренняя панель администратора. Злоумышленники могут пройти аутентификацию на порту 49955, используя имя пользователя «tech» и пустой пароль.
Внедрение команд
Тот же встроенный веб-сервер уязвим для ошибки внедрения команд, которая позволяет злоумышленникам запускать команды оболочки в контексте веб-сервера, что довольно много, поскольку сервер используется для управления устройством через веб-панель.
Nomotion сообщает, что этой уязвимости подвержено более 220 000 устройств. Эту уязвимость можно использовать даже без использования одного из жестко запрограммированных бэкдоров. Все, что нужно злоумышленнику, – это неправильно сформированный сетевой запрос к порту модема 49955. Базовые фильтры уровня ISP могут остановить использование этой ошибки.
Бэкдор # 3
Злоумышленники могут использовать имя пользователя и пароль «bdctest / bdctest» для аутентификации на устройстве через порт 61001. Использование этой уязвимости требует, чтобы злоумышленник знал серийный номер устройства.
Даже если взломать его нелегко, решительный злоумышленник может найти способ утечки серийного номера для каждого устройства и получить доступ к нему. Исследователи заявили, что эта учетная запись раскрывает информацию о журналах, учетных данных модема WiFi и MAC-адресах внутренних хостов.
Обход межсетевого экрана
Хорошо продуманный HTTP-запрос, отправленный через порт 49152, позволит злоумышленникам обойти внутренний брандмауэр модема и открыть TCP-прокси-соединение с устройством.
Обход брандмауэра позволяет злоумышленнику использовать остальные четыре уязвимости, даже если пользователь думал, что защитил свой маршрутизатор, включив брандмауэр на устройстве.
Злоумышленнику нужен только общедоступный IP-адрес модема, чтобы воспользоваться этой ошибкой, но его можно получить с помощью таких сервисов, как Shodan, Censys или ZoomEye.
«У каждого наблюдаемого устройства AT&T был открыт этот порт (49152) и он отвечал на запросы», – сказал Nomotion.
Попыток эксплуатации пока не обнаружено
Эти пять недостатков не относятся к категории «нулевого дня», поскольку исследователи не нашли никаких доказательств того, что они использовались в атаках до публикации своего исследования.
Для владельцев указанных устройств Nomotion опубликовала базовые инструкции по самоуничтожению, которые владельцы устройств и интернет-провайдеры могут использовать для блокировки доступа к бэкдорам и исправления некоторых недостатков. Самостоятельные меры доступны в конце отчета Nomotion .
Виктор Геверс, председатель GDI Foundation, также предложил ресурсы своей организации, чтобы помочь пользователям и интернет-провайдерам смягчить выявленные проблемы.
По материалам: https://socamp.ru/