Declaração técnica

Declaração sobre Pierre Kim revelando vulnerabilidades de segurança em produtos OLT de dados C

Notamos um artigo chamado “Várias vulnerabilidades encontradas em OLTs de C-Data” publicado no Github. C-Data admira o trabalho de dois profissionais do meio tecnológico, Pierre Kim e Alexandre Torres, e agradece a identificação de problemas de violação de segurança por meio de testes detalhados, bem como pelo seu trabalho ativo na redução dos riscos dos usuários que usam produtos de rede. C-Data adere à filosofia de servir os clientes, e sempre coloca os interesses dos clientes em primeiro lugar, bem como presta especial atenção aos problemas de segurança do produto. Desta forma, a C-Data pode fornecer aos clientes produtos com garantia de segurança.

Nesse ínterim, prestamos atenção a alguns comunicados de imprensa publicados pela mídia e interpretamos artigos técnicos de Pierre Kim e Alexandre Torres. Para não permitir que a maioria dos clientes entenda mal o design de segurança de nossos equipamentos, a C-Data analisa e esclarece as questões técnicas mencionadas de maneira sincera e franca.

Excluindo produtos falsificados

A conta mencionada neste artigo: panger123/suma123. Investigamos a conta e a senha. Além disso, confirmamos que a conta e a senha não são dos produtos C-Data OLT, mas são os usados por outras empresas e pessoas quando copiam o C-Data OLT. O estilo CLI e a maioria de seus comandos do OLT falsificado são todos copiados do C-Data OLT. O equipamento OLT da C-Data é agora amplamente utilizado em todo o mundo, e os falsificadores copiam o C-Data OLT para lucros ilegais.

De acordo com a seguinte captura de tela, podemos comparar e analisar completamente que a conta do panger123/suma123 vem de um OLT copiado ilegalmente.

[Estilo de linha de comando réplica e informações de versão]

[C-Dados FD11XX série OLT informações de versão e estilo de linha de comando]

Se você usar a conta do panger123/suma123, nunca poderá acessar o C-Data OLT. A figura a seguir mostra a interceptação de informações da tentativa fracassada de fazer login no C-Data OLT com a conta panger123/suma123.

Este artigo analisa o problema relacionado ao “Processo de autenticação com credenciais codificadas”. A demonstração indica que entramos no bcm-shell do OLT e recebemos as principais informações do OLT com o método telnet. Todas as informações relevantes vêm da réplica, em vez do C-Data OLT. Nas capturas de tela, as informações de conta e senha marcadas em vermelho são as falsificações.

Introdução a várias contas de configuração de fábrica

As seguintes duas contas de login telnet e senhas mencionadas neste artigo são realmente usadas no OLT de primeira geração do C-Data (OLT começando com FD11XX):

OLT telnet conta 1: debug/debug124

OLT telnet conta 2: root/root126

Esta conta e senha são usadas principalmente por C-Data para auxiliar os clientes na depuração de problemas e gravação de parâmetros de produção. (Informações de endereço OLT mac e informações SN, etc.)

Esta conta deve ser conectada com sucesso à porta CONSOLE por uma linha serial local no OLT e, em seguida, pode entrar no modo OLT bcm-shell para modificar e visualizar as informações de chave do OLT. Use este accout sob OLT TELENT modo, só podemos entrar no CLI do dispositivo, não pode entrar OLT bcm-shell modificar as informações-chave de OLT.

Se os ataques quiserem entrar no modo bcm-shell do OLT para obter informações de privacidade do dispositivo ou implantar programas maliciosos no OLT, eles devem fazer login no OLT conectando diretamente a linha de porta serial do computador localmente. Desta forma, de modo algum os invasores remotos podem usar essas duas contas para atacar.

Portanto, não existe uma situação como “Backdoor Access com telnet”.

Além disso, no que diz respeito a estas duas contas, a C-Data revelou aos clientes exigidos sem reservas. Um uso comum de clientes acontece quando eles precisam modificar o endereço MAC.

[A figura a seguir mostra como fazer login em C-Data OLT remotamente com debug/debug124 e root/root126, e como tentar entrar no prompt de modo shell. Além disso, o prompt OLT suporta apenas a entrada de bcm-shell sob a conexão direta do CONSOLE.]

Outro cenário de uso de debug/debug124 e root/root126 é quando o C-Data fornece suporte técnico remoto a pedido do cliente. O acesso remoto de todos os C-Data obteve o consentimento do cliente após consulta aos clientes. Ao operar, o operador precisa fazer login no computador do cliente remotamente e, em seguida, fazer login no dispositivo usando as portas seriais locais dessas duas contas, e trabalhar com o cliente para a análise de posicionamento de problemas de rede desta forma. Os técnicos do cliente participarão e supervisionarão tEle processo de serviços técnicos ao longo do processo.

Quanto a saber se há um problema em que um invasor faz login na CLI usando essas duas contas através do TELNET e, em seguida, altera a configuração do OLT, resultando em problemas de segurança de rede, explicaremos isso mais tarde na política de segurança.

OLT telnet Account3: convidado/[vazio]

A conta e a senha são a conta da configuração padrão de fábrica, que só pode verificar algumas informações básicas da OLT e sem ter autoridade para configurar qualquer OLT. O usuário pode excluir ou modificar a conta conforme necessário ao usá-la.

Solução: Como a série FD11XX OLT é o modelo de primeira geração do C-DataOLT, cujas regras de conta e senha não são totalmente consideradas. A senha padrão é fixa e muito simples, o que pode ser aproveitado por criminosos. C-Datawai imediatamente atualizar e lançar a versão de software deste produto OLT. Na versão mais recente, a conta de depuração não adotará mais a senha fixa geral e a senha será gerada por uma ferramenta especial de geração de senha de acordo com o código de identificação exclusivo vinculado ao dispositivo. Se não houver informações exclusivas do código de identificação do dispositivo ou da ferramenta de geração de senha, a senha não pode ser obtida.

Mecanismo criptográfico mais seguro

Para outros modelos de C-Data OLTs(OLT denominado FD15XX, FD16XX, FD12XX, FD8000), o problema de “Backdoor Access com telnet” não existe, porque esses OLTs adotam um mecanismo criptográfico mais seguro. O dispositivo é configurado com várias contas gerais por padrão de fábrica, incluindo root/admin, admin/admin e convidado/convidado, que pode ser usado pelos clientes para configurar inicialmente o OLT. Os clientes precisam criar, excluir e modificar a conta de login e a senha do dispositivo de acordo com suas próprias políticas de segurança ao usar o dispositivo. Não recomendamos usar o nome de usuário e senha padrão de fábrica na rede de operação.

O dispositivo mantém uma conta de depuração para auxiliar os clientes na depuração e resolução de problemas, e essa conta também pode ser usada pelo cliente para encontrar a senha esquecida quando eles esquecem a senha de login do OLT. No entanto, a conta não usa mais a senha geral e a senha é calculada e gerada de acordo com as informações de identificação exclusivas do OLT do cliente. Somente quando o cliente fornece as informações do código de identificação exclusivo em conjunto com a ferramenta especial de geração de senha, a senha pode ser gerada. A senha de cada OLT é diferente, o que garantirá melhor a segurança do dispositivo.

O requisito de gestão de login WEB

O nome de usuário e a senha exibidos neste artigo são, na verdade, as necessidades de vários usuários. A conta e a senha são o nome de usuário de login e a senha na interface de gerenciamento da web do OLT. Como muitos clientes feedback que alguns de seus funcionários de manutenção júnior podem facilmente esquecer o login do nome de usuário e senha da interface de gerenciamento WEB da OLT, e espero que os gerentes de nível superior possam consultar o nome de usuário e senha da WEB através da OLT CLI, nós fornecemos este comando a pedido do cliente, Para que os clientes possam verificar o nome de usuário de login e a senha da WEB por si mesmos através da linha de comando. Acreditamos que o cliente pode formular um sistema de gerenciamento de segurança eficaz, gerenciar adequadamente o uso de nomes de usuário e senhas para evitar o risco de usar este comando.

Estratégias e sugestões de segurança

O artigo apresenta vários esquemas que podem ser usados para atacar o C-DataOLT depois de conhecer a conta e a senha do “Backdoor Access with telnet” da C-Data do ponto de vista dos riscos de segurança de rede. C-Databelieves que a maioria dos clientes tem um conjunto de medidas adequadas para sua própria defesa contra ataques cibernéticos. A seguir, listará as medidas comuns de defesa contra ataques cibernéticos do lado do cliente. Essas medidas podem proteger o OLT dos seguintes meios de ataque mencionados no artigo:

* Escape shell com privilégios de raiz

* Pré-Auth Remoto DoS

* Credenciais infoleak e credenciais em texto claro (HTTP)

* Algoritmo de criptografia fraco

* Interfaces de gestão inseguras

Estratégia de defesa 1: No planejamento geral da rede, todos os VLANs de gerenciamento OLT e VLANs de serviço no lado do cliente são diferentes. Se a VLAN de gerenciamento usada pelo invasor estiver incorreta, esse tipo de planejamento torna impossível acessar o equipamento OLT do lado da rede do OLT (uplink) ou o lado do usuário (downlink para ONU).

Estratégia de defesa 2: OLT é usado como um dispositivo de camada de acesso. Para muitos ISPs de pequeno e médio porte, o OLT geralmente é implantado na intranet de sua rede. Quando a intranet vai para a rede pública,Passará pelo roteador ou dispositivo de firewall. Serviços como telnet e http estão desativados no roteador e no equipamento de firewall; Aqueles que acessam o OLT são funcionários que têm acesso ao OLT na intranet do cliente; De fato, se houver outro pessoal que precise acessar o dispositivo OLT na intranet através da rede pública, Eles precisam fazer o encaminhamento de porta no roteador ou firewall, e apenas o cliente conhece as regras de encaminhamento, por isso é difícil para o invasor obter informações e realizar ataques.

Estratégia de defesa 3: O OLT da C-Data fez muitas estratégias de controle, que são definidas pelos próprios clientes, e pode impedir completamente que invasores de rede façam login ilegalmente no dispositivo:

OLT configurando estratégia 1:

Ele pode ser controlado pelo controle de acesso do sistema OLT para permitir que certos endereços IP específicos ou mac acessem o dispositivo OLT configurado pelo cliente e é completamente desconhecido para outros.

OLT configurando estratégia 2:

O acesso de outband do OLT pode ser ligado ou desligado pelo cliente. Os clientes podem desativar o gerenciamento de banda externa e usar o gerenciamento inband. Neste caso, o gerenciamento do dispositivo é obtido por meio de um canal de gerenciamento dedicado separado dos dados de negócios, portanto, a segurança da rede é maior.

OLT configurando estratégia 3:

A porta de acesso à Web da OLT pode ser modificada pelo cliente e pode ser fechada e aberta pelo cliente.

Estratégia de configuração OLT 4:

O OLT pode ser configurado com uma função acl perfeita para evitar que o dispositivo seja atacado facilmente.

Conclusão

O artigo de Pierre Kim e Alexandre Torres resumiu em detalhes e testa seriamente o dispositivo da C-Data do ponto de vista das vulnerabilidades de segurança. A intenção original do artigo original era dar feedback às vulnerabilidades de segurança no dispositivo, para que os técnicos e usuários notassem os riscos de segurança e realizassem precauções de segurança eficazes, não o significado de “OLT dispositivo backdoor” quando a mídia retransmitiu a disseminação, e não deve ser interpretado como C-Data deixou intencionalmente uma porta dos fundos no produto. A C-Data espera que os produtos proporcionem aos clientes a melhor experiência e torne mais conveniente o uso do dispositivo. A C-Data tem a capacidade de ajudar os clientes a estabelecer melhor estratégias de defesa em segurança cibernética. C-Data também dá as boas-vindas a todas as partes para apresentar sugestões razoáveis, para que o dispositivo C-Data possa considerar mais as questões de segurança dos clientes e a confusão ao usar o dispositivo sob a premissa de fornecer conveniência e praticidade aos clientes. Obrigado!

Apêndice:

Fonte original do documento:

https:// pierrekim.github.io/blog/2020-07-07-C-Data-olt-0day-vulnerabilities.html

Reimpressão da mídia online:

https://www.zdnet.com/article/backdoor-accounts-discovered-in-29-ftth-devices-from-chinese-vendor-c-data/