image

По мнению специалиста в области безопасности, 600 000 кабельных модемов Arris удивят пользователей малоприятным сюрпризом под названием «бэкдор в бэкдоре».

Тестировщик ПО из Globo TV Бернардо Родригес опубликовал отчет о скрытых библиотеках, обнаруженных в трех кабельных модемах Arris. В свою очередь, благодаря поисковой системе Shodan, позволяющей исследовать данные о всех подключенных к сети устройствах, были выявлены аналогичные дефекты в 600 000 модемах.

image

Анализируя упомянутый показатель, Родригесу удалось найти бэкдор, ранее несвойственный модемам Arris. Однако, продолжив эксперимент с помощью Shodan, специалист выяснил, что более 600 000 внешних хостов оказались под ударом бэкдора. Исходный бэкдор-пароль администратора, основанный на привычном алгоритме, известен с 2009 года.

Бэкдор скрыт в административной оболочке, отвечающей за работу кабельных модемов. Управлять записью с бэкдором можно удаленно при помощи Telnet и SSH, обращаясь к скрытому интерфейсу администратора HTTP или через стандартные SNMP MIB.

Родригес пояснил, что в роли дефолтного пароля для root-пользователя SSH выступает ‘arris’. Загружая очередную сессию в Telnet, система активизирует оболочку ‘mini_cli’, которая запрашивает пароль бэкдор. Как только пользователь входит в систему посредством утилиты генератора однодневных паролей, его перенаправляют в зону с ограниченным набором команд.

При анализе библиотеки бэкдора и образов с ограниченным набором команд, Родригес выяснил, что в алгоритме скрывался еще один бэкдор. По мнению эксперта, незадокументированный пароль-бэкдор функционирует благодаря пяти последним цифрам серийного номера модема. Авторизация в Telnet / SSH при помощи данных паролей позволяет войти в зону, соответствующую уровню BusyBox.

image

Родригес приходит к выводу, что подобные дефекты устройств «наверняка» использовали в течение некоторого времени. Он утверждает, что «для обнаружения аналогичных слабых мест и бэкдоров, нужно подходить к изучению прошивок более системно, анализирую целые классы устройств и выясняя, какого рода погрешности касаются отдельных видов продуктов».


P.S. Сегодня у нас, как и у многих других, «Black Friday» и, соответственно, большие скидки на серверы.

Комментарии (2)


  1. AndrewN
    27.11.2015 11:19
    +7

    'Фотокарточка XZibit'


    1. AndersonDunai
      27.11.2015 11:43
      +16

      Доставлено.
      image