Declaração sobre Pierre Kim Revelando Vulnerabilidades de Segurança em Produtos C-data OLT
Percebemos um artigo intitulado “Múltiplas vulnerabilidades encontradas em OLTs C-Data” publicado no Github. A C-Data admira o trabalho de dois profissionais do meio tecnológico, Pierre Kim e Alexandre Torres, e agradece por identificarem problemas de brechas de segurança através de testes detalhados, bem como por seu trabalho ativo na redução dos riscos para os usuários que utilizam produtos de rede. A C-Data segue a filosofia de servir os clientes e sempre coloca os interesses dos clientes em primeiro lugar, além de prestar atenção especial aos problemas de segurança dos produtos. Dessa forma, a C-Data pode fornecer aos clientes produtos com garantia de segurança.
Ao mesmo tempo, prestamos atenção a alguns comunicados à imprensa publicados pela mídia, e interpretamos os artigos técnicos de Pierre Kim e Alexandre Torres. Para não deixar que a maioria dos clientes entenda mal o design de segurança dos nossos equipamentos, a C-Data analisa e esclarece as questões técnicas mencionadas de forma sincera e franca.
Excluindo produtos falsificados
A conta mencionada neste artigo: panger123/suma123. Investigamos a conta e a senha. Além disso, confirmamos que a conta e a senha não são dos produtos C-Data OLT, mas sim aquelas usadas por outras empresas e pessoas quando copiam o C-Data OLT. O estilo da CLI e a maioria de seus comandos do OLT falsificado são todos copiados do C-Data OLT. Os equipamentos C-Data OLT são agora amplamente usados em todo o mundo, e os falsificadores copiam o C-Data OLT para obter lucros ilegais.
De acordo com a captura de tela a seguir, podemos comparar e analisar completamente que a conta panger123/suma123 vem de um OLT copiado ilegalmente.
[Estilo da linha de comando da réplica e informações da versão]
[Informações da versão do OLT da série C-Data FD11XX e estilo da linha de comando]
Se você usar a conta panger123/suma123, nunca conseguirá acessar o C-Data OLT. A figura a seguir mostra a interceptação de informações da tentativa fracassada de login no C-Data OLT com a conta panger123/suma123.
Este artigo analisa o problema referente ao “Processo de autenticação com credenciais codificadas”. A demonstração indica que logamos no bcm-shell do OLT e recebemos as informações chave do OLT com o método telnet. As informações relevantes vêm todas da réplica, e não do C-Data OLT. Nas capturas de tela, as informações de conta e senha marcadas em vermelho são as das falsificações.
Introdução a várias contas de configuração de fábrica
As duas contas de login telnet e senhas mencionadas neste artigo são realmente usadas no OLT de primeira geração da C-Data (OLT começando com FD11XX):
Conta telnet OLT 1: debug/debug124
Conta telnet OLT 2: root/root126
Esta conta e senha são usadas principalmente pela C-Data para auxiliar os clientes na depuração de problemas e na escrita de parâmetros de produção. (informações de endereço MAC do OLT e informações SN, etc.)
Esta conta deve ser logada com sucesso na porta CONSOLE por uma linha serial local no OLT, para então entrar no modo bcm-shell do OLT para modificar e visualizar informações chave do OLT. Usando esta conta sob o modo TELNET do OLT, só podemos entrar na CLI do dispositivo, não podendo entrar no bcm-shell do OLT para modificar as informações chave do OLT.
Se os ataques quiserem entrar no modo bcm-shell do OLT para obter informações privadas do dispositivo ou implantar programas maliciosos no OLT, devem logar no OLT conectando diretamente a linha da porta serial do computador localmente. Dessa forma, de modo algum os atacantes remotos podem usar essas duas contas para atacar.
Portanto, não existe tal situação como “Acesso por Backdoor com telnet”.
Além disso, com relação a essas duas contas, a C-Data as revelou aos clientes que as solicitaram sem reservas. Um uso comum dos clientes ocorre quando eles precisam modificar o endereço MAC.
[A figura a seguir mostra como logar no C-Data OLT remotamente com debug/debug124 e root/root126, e como tentar entrar no prompt do modo shell. Além disso, o prompt do OLT só suporta entrar no bcm-shell sob a conexão direta do CONSOLE.]
Outro cenário de uso do debug/debug124 e root/root126 é quando a C-Data fornece suporte técnico remoto a pedido do cliente. Todo acesso remoto da C-Data obteve o consentimento do cliente após consulta. Ao operar, o operador precisa logar no computador do cliente remotamente, depois logar no dispositivo usando as portas seriais locais dessas duas contas, e trabalhar com o cliente para análise de posicionamento de problemas de rede dessa forma. Os técnicos do cliente participarão e supervisionarão o processo de serviços técnicos durante todo o processo.
Quanto a se há um problema em que um atacante loga na CLI usando essas duas contas através do TELNET e depois altera a configuração do OLT, resultando em problemas de segurança de rede, explicaremos melhor na política de segurança mais adiante.
Conta telnet OLT 3: guest/[vazia]
A conta e senha são a conta de configuração padrão de fábrica, que só pode verificar algumas informações básicas do OLT, e sem ter autoridade para configurar qualquer OLT. O usuário pode excluir ou modificar a conta conforme necessário ao usá-la.
Solução: Como o OLT da série FD11XX é o modelo de primeira geração da C-Data OLT, as regras de conta e senha não foram totalmente consideradas. A senha padrão é fixa e muito simples, o que pode ser aproveitado por criminosos. A C-Data atualizará e lançará imediatamente a versão de software deste produto OLT. Na versão mais recente, a conta de depuração não adotará mais a senha fixa geral, e a senha será gerada por uma ferramenta especial de geração de senha de acordo com o código de identificação único vinculado ao dispositivo. Se não houver informações do código de identificação único do dispositivo ou a ferramenta de geração de senha, a senha não poderá ser obtida.
Mecanismo Criptográfico Mais Seguro
Para outros modelos de OLTs C-Data (OLT denominados FD15XX, FD16XX, FD12XX, FD8000), o problema de “Acesso por Backdoor com telnet” não existe, porque esses OLTs adotam um mecanismo criptográfico mais seguro. O dispositivo é configurado com várias contas gerais por padrão de fábrica, incluindo root/admin, admin/admin e guest/guest, que podem ser usadas pelos clientes para configurar inicialmente o OLT. Os clientes precisam criar, excluir e modificar a conta e senha de login do dispositivo de acordo com suas próprias políticas de segurança ao usar o dispositivo. Não recomendamos o uso do nome de usuário e senha padrão de fábrica na rede de operação.
O dispositivo mantém uma conta de depuração para auxiliar os clientes na depuração e solução de problemas, e essa conta também pode ser usada pelo cliente para encontrar a senha esquecida quando esquecem a senha de login do OLT. No entanto, a conta não usa mais a senha geral, e a senha é calculada e gerada de acordo com as informações de identificação única do OLT do cliente. Somente quando o cliente fornecer as informações do código de identificação único em conjunto com a ferramenta especial de geração de senha é que a senha pode ser gerada. A senha de cada OLT é diferente, o que garantirá melhor a segurança do dispositivo.
A Exigência de Gerenciamento de Login WEB
O nome de usuário e senha exibidos neste artigo são, na verdade, as necessidades de muitos usuários. A conta e senha são o nome de usuário e senha de login na interface de gerenciamento web do OLT. Como muitos clientes relatam que parte de seu pessoal de manutenção júnior pode facilmente esquecer o nome de usuário e senha de login da interface de gerenciamento WEB do OLT, e esperam que gerentes de nível superior possam consultar o nome de usuário e senha do WEB através da CLI do OLT, fornecemos este comando a pedido dos clientes, para que eles possam verificar o nome de usuário e senha de login do WEB por si mesmos através da linha de comando. Acreditamos que o cliente pode formular um sistema de gerenciamento de segurança eficaz, gerenciar adequadamente o uso de nomes de usuário e senhas para evitar o risco de usar este comando.
Estratégias e sugestões de segurança
O artigo apresenta vários esquemas que podem ser usados para atacar o C-Data OLT após conhecer a conta e senha do “Acesso por Backdoor com telnet” da C-Data, sob a perspectiva de riscos de segurança de rede. A C-Data acredita que a maioria dos clientes possui um conjunto de medidas adequadas para sua própria defesa contra ataques cibernéticos. A seguir, listaremos as medidas comuns para defesa contra ataques cibernéticos do lado do cliente. Essas medidas podem proteger o OLT dos seguintes meios de ataque mencionados no artigo:
* Escape do shell com privilégios de root
* DoS Remoto Pré-Autenticação
* Vazamento de credenciais e credenciais em texto claro (HTTP)
* Algoritmo de criptografia fraco
* Interfaces de gerenciamento inseguras
Estratégia de Defesa 1: Em planejamento de rede geral, todas as VLANs de gerenciamento OLT e VLANs de serviço no lado do cliente são diferentes. Se a VLAN de gerenciamento usada pelo atacante estiver incorreta, esse tipo de planejamento torna impossível acessar o equipamento OLT do lado da rede do OLT (uplink) ou do lado do usuário (downlink para ONU).
Estratégia de defesa 2: O OLT é usado como um dispositivo de camada de acesso. Para muitos ISPs pequenos e médios, o OLT geralmente é implantado na intranet de sua rede. Quando a intranet vai para a rede pública, ela passará pelo roteador ou dispositivo de firewall. Serviços como telnet e http são desabilitados no roteador e firewall; Aqueles que acessam o OLT são funcionários que têm acesso ao OLT na intranet do cliente; De fato, se houver outros funcionários que precisam acessar o dispositivo OLT na intranet através da rede pública, eles precisam fazer encaminhamento de porta no roteador ou firewall, e apenas o cliente conhece as regras de encaminhamento, então é difícil para o atacante obter informações e realizar ataques.
Estratégia de defesa 3: O OLT da C-Data fez muitas estratégias de controle, que são definidas pelos próprios clientes, e pode impedir completamente que atacantes de rede façam login ilegal no dispositivo:
Estratégia de configuração do OLT 1:
Pode ser controlado pelo controle de acesso do sistema do OLT para permitir que certos endereços IP ou MAC específicos acessem o dispositivo OLT configurado pelo cliente e é completamente desconhecido para outros.
Estratégia de configuração do OLT 2:
O acesso out-of-band do OLT pode ser ligado ou desligado pelo cliente. Os clientes podem desligar o gerenciamento out-of-band e usar o gerenciamento in-band. Nesse caso, o gerenciamento do dispositivo é alcançado através de um canal de gerenciamento dedicado separado dos dados de negócios, portanto a segurança da rede é maior.
Estratégia de configuração do OLT 3:
A porta de acesso Web do OLT pode ser modificada pelo cliente e pode ser fechada e aberta pelo cliente.
Estratégia de configuração do OLT 4:
O OLT pode ser configurado com uma função ACL perfeita para evitar que o dispositivo seja atacado facilmente.
Conclusão
O artigo de Pierre Kim e Alexandre Torres resumiu detalhadamente e testou seriamente o dispositivo da C-Data sob a perspectiva de vulnerabilidades de segurança. A intenção original do artigo original era relatar vulnerabilidades de segurança no dispositivo, para que técnicos e usuários percebam os riscos de segurança e realizem precauções de segurança eficazes, não o significado de “backdoor no dispositivo OLT” quando a mídia retransmitiu a divulgação, e não deve ser interpretado como a C-Data ter intencionalmente deixado um backdoor no produto. A C-Data espera que os produtos proporcionem a melhor experiência aos clientes e tornem mais conveniente para eles usar o dispositivo. A C-Data tem a capacidade de ajudar os clientes a estabelecer melhor estratégias de defesa em segurança cibernética. A C-Data também recebe bem todas as partes para apresentarem sugestões razoáveis, para que o dispositivo C-Data possa dar mais consideração às questões de segurança e confusão dos clientes ao usar o dispositivo, sob a premissa de fornecer conveniência e praticidade aos clientes. Obrigado!
Apêndice:
Fonte original do documento:
https://pierrekim.github.io/blog/2020-07-07-C-Data-olt-0day-vulnerabilities.html
Reimpressão da Mídia Online: