Δευτέρα, 22 Φεβρουαρίου, 01:35
Αρχική security Συσκευές FTTH OLT της C-Data περιέχουν backdoors

Συσκευές FTTH OLT της C-Data περιέχουν backdoors

Σοβαρές ευπάθειες και backdoors ανακάλυψαν δύο ερευνητές ασφαλείας στο firmware 29 συσκευών FTTH OLT, του δημοφιλούς παρόχου εξοπλισμού C-Data.

FTTH

Ο όρος FTTH OLT αναφέρεται σε εξοπλισμό δικτύωσης, που επιτρέπει στους παρόχους υπηρεσιών διαδικτύου να φέρνουν καλώδια οπτικών ινών όσο το δυνατόν πιο κοντά στους τελικούς χρήστες.

Αυτές οι συσκευές αποτελούν το τερματικό σε ένα δίκτυο οπτικών ινών, που μετατρέπουν τα δεδομένα από μια οπτική γραμμή σε μια κλασική σύνδεση καλωδίου Ethernet, που στη συνέχεια συνδέεται στο σπίτι, τα κέντρα δεδομένων ή τα επιχειρηματικά κέντρα του καταναλωτή.

Αυτές οι συσκευές βρίσκονται σε όλο το δίκτυο ενός ISP και λόγω του κρίσιμου ρόλου τους, αποτελούς επίσης έναν από τους πιο διαδεδομένους τύπους συσκευών δικτύωσης στις μέρες μας.

Οι ερευνητές ασφαλείας Pierre Kim και Alexandre Torres ανακάλυψαν εφτά ευπάθειες στο firmware των συσκευών FTTH OLT, που κατασκευάστηκαν από τον κινεζικό προμηθευτή εξοπλισμού C-Data και πιστεύουν ότι επηρεάζουν 29 μοντέλα FTTH OLT που χρησιμοποιούν παρόμοιο firmware.

Το πιο σοβαρό από τα επτά ελαττώματα είναι η παρουσία backdoor λογαριασμών που έχουν ενσωματωθεί στο firmware.

hacker

Οι λογαριασμοί επιτρέπουν σε εισβολείς να συνδεθούν στη συσκευή, μέσω ενός Telnet server που εκτελείται στη διεπαφή WAN της συσκευής. Οι Kim και Torres δήλωσαν ότι οι λογαριασμοί παραχωρούν στους εισβολείς πλήρη πρόσβαση διαχειριστή CLI.

Οι δύο ερευνητές δήλωσαν ότι ανακάλυψαν τέσσερις συνδυασμούς ονόματος χρήστη-κωδικού πρόσβασης κρυμμένους στο firmware C-Data.

  1. suma123 / panger123
  2. debug / debug124
  3. root / root126
  4. επισκέπτης / [κενό]

Ωστόσο, όπως δηλώνουν οι ερευνητές η πρόσβαση θα μπορούσε να χρησιμοποιηθεί και για την εκμετάλλευση άλλων ευπαθειών. Για παράδειγμα, ένας εισβολέας θα μπορούσε επίσης να εκμεταλλευτεί ένα δεύτερο σφάλμα για να παραθέσει διαπιστευτήρια σε cleartext στο Telnet CLI και για όλους τους άλλους διαχειριστές συσκευών, τα οποία θα μπορούσαν να χρησιμοποιηθούν αργότερα σε περίπτωση που καταργηθεί ο λογαριασμός backdoor.

Μπορείτε να δείτε την αναλυτική έρευνα εδώ.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Πως να πραγματοποιήσετε μια κλήση Facetime Audio

Έχετε κουραστεί από τις κλήσεις κινητής τηλεφωνίας χαμηλής ποιότητας; Χάρη στο FaceTime, μπορείτε να πραγματοποιείτε κλήσεις υψηλής ανάλυσης αν χρησιμοποιείτε iPhone, iPad,...

Πώς θα προσθέσετε ειδικά εφέ στα μηνύματα του Instagram

Γνωρίζατε ότι μπορείτε να κάνετε τα άμεσα μηνύματα του Instagram πιο εντυπωσιακά; Όπως κάθε άλλη δυνατότητα του Instagram, μπορείτε να προσθέσετε ειδικά...

Μόνο 270 διευθύνσεις είναι υπεύθυνες για το 55% του συνόλου της νομιμοποίησης εσόδων από παράνομες δραστηριότητες

Οι κυβερνοεγκληματίες που διατηρούν τα χρήματά τους σε κρυπτονομίσματα τείνουν να «ξεπλένουν» χρήματα μέσω ενός μικρού συνόλου διαδικτυακών υπηρεσιών, σύμφωνα με την...

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...