Declaración técnica

Declaración sobre Pierre Kim que revela las vulnerabilidades de seguridad en los productos de C-data OLT

Hemos notado un artículo llamado "Múltiples vulnerabilidades encontradas en los OLT de C-Data" publicado en Github. C-Data Admira el trabajo de dos profesionales en los círculos tecnológicos, Pierre Kim y Alexandre Torres, y gracias por identificar problemas de violación de seguridad a través de pruebas detalladas, así como por su trabajo activo en la reducción de los riesgos de los usuarios que utilizan productos de red. C-Data se adhiere a la filosofía de servir a los clientes, y siempre pone los intereses de los clientes en primer lugar, así como presta especial atención a los problemas de seguridad del producto. De esta manera, C-Data puede proporcionar a los clientes productos con garantía de seguridad.

Mientras tanto, hemos prestado atención a algunos comunicados de prensa publicados por los medios de comunicación y hemos interpretado artículos técnicos de Pierre Kim y Alexandre Torres. Para no permitir que la mayoría de los clientes malinterpreten el diseño de seguridad de nuestro equipo, C-Data analiza y aclara los problemas técnicos mencionados de manera sincera y franca.

Excluyendo productos falsificados

El relato mencionado en este artículo: panger123/suma123. Hemos investigado la cuenta y la contraseña. Además, hemos confirmado que la cuenta y la contraseña no son de los productos C-Data OLT, sino que son los que utilizan otras empresas y personas cuando copian el C-Data OLT. El estilo CLI y la mayoría de sus comandos del OLT falsificado se copian del C-Data OLT. El equipo C-Data OLT ahora se usa ampliamente en todo el mundo, y los falsificadores copian C-Data OLT para obtener ganancias ilegales.

Según la siguiente captura de pantalla, podemos comparar y analizar completamente que la cuenta de panger123/suma123 proviene de un OLT copiado ilegalmente.

[Réplica de estilo de línea de comandos e información de versión]

[C-Datos FD11XX serie OLT información de versión y estilo de línea de comandos]

Si utiliza la cuenta de panger123/suma123, nunca podrá acceder a C-Data OLT. La siguiente figura muestra la interceptación de información del intento fallido de iniciar sesión en el C-Data OLT con la cuenta panger123/suma123.

Este artículo analiza el problema con respecto al "Proceso de autenticación con credenciales codificadas". La demostración indica que iniciamos sesión en el bcm-shell de OLT y recibimos la información clave de OLT con el método telnet. Toda la información relevante proviene de la réplica, en lugar del C-Data OLT. En las capturas de pantalla, la información de cuenta y contraseña marcada en rojo es la de las falsificaciones.

Introducción a varias cuentas de configuración de fábrica

Las siguientes dos cuentas de inicio de sesión y contraseñas de Telnet mencionadas en este artículo se utilizan en realidad en la primera generación OLT de C-Data (OLT comenzando con FD11XX):

Cuenta OLT Telnet 1: debug/debug124

Cuenta OLT Telnet 2: root/root126

Esta cuenta y contraseña son utilizados principalmente por C-Data para ayudar a los clientes en problemas de depuración y escritura de parámetros de producción. (Información de dirección MAC OLT e información SN, etc.)

Esta cuenta debe haber iniciado sesión con éxito en el puerto CONSOLE mediante una línea serie local en el OLT. A continuación, puede introducir el modo OLT bcm-shell para modificar y ver la información clave del OLT. Utilice este acceso bajo el modo OLT TELENT, sólo podemos introducir el CLI del dispositivo, no puede entrar en OLT bcm-Shell modificar la información clave de OLT.

Si los ataques quieren entrar en el modo bcm-shell de OLT para obtener información de privacidad del dispositivo o implantar programas maliciosos en OLT, deben iniciar sesión en OLT conectando directamente la línea de puerto serie de la computadora localmente. De esta manera, de ninguna manera los atacantes remotos pueden usar estas dos cuentas para atacar.

Por lo tanto, no existe tal situación como "Acceso por puerta trasera con Telnet".

Además, en lo que se refiere a estas dos cuentas, C-Data ha revelado a los clientes requeridos sin reserva. Un uso común de los clientes ocurre cuando necesitan modificar la dirección MAC.

[La siguiente figura muestra cómo iniciar sesión en C-Data OLT de forma remota con debug/debug124 y root/root 126, y cómo intentar ingresar al prompt de modo de Shell. Además, el indicador OLT solo admite la entrada de bcm-shell bajo la conexión directa de CONSOLE.]

Otro escenario de uso de Debug/debug124 y root/root126 es cuando C-Data proporciona soporte técnico remoto a petición del cliente. El acceso remoto de todos los C-Data obtuvo el consentimiento del cliente después de consultar con los clientes. Al operar, el operador debe iniciar sesión en la computadora del cliente de forma remota, luego iniciar sesión en el dispositivo utilizando los puertos serie locales de estas dos cuentas, y trabajar con el cliente para el análisis de posicionamiento de los problemas de la red de esta manera. Los técnicos del cliente participarán y supervisarán tEl proceso de servicios técnicos durante todo el proceso.

En cuanto a si hay un problema en el que un atacante inicia sesión en el CLI usando estas dos cuentas a través de TELNET y luego cambia la configuración del OLT, lo que genera problemas de seguridad de red, lo explicaremos más adelante en la política de seguridad.

OLT Telnet Account3: Invitado/[vacío]

La cuenta y la contraseña son la cuenta de configuración predeterminada de fábrica, que solo puede verificar alguna información básica de OLT, y sin tener la autoridad para configurar ningún OLT. El usuario puede eliminar o modificar la cuenta según sea necesario cuando la utilice.

Solución: Como el OLT de la serie FD11XX es el modelo de primera generación de C-DataOLT, cuyas reglas de cuenta y contraseña no se consideran completamente. La contraseña predeterminada es fija y demasiado simple, lo que puede ser aprovechado por los delincuentes. C-Datawará actualiza inmediatamente y lanza la versión de software de este producto OLT. En la última versión, la cuenta de depuración ya no adoptará la contraseña fija general, y la contraseña será generada por una herramienta especial de generación de contraseña de acuerdo con el código de identificación único vinculado al dispositivo. Si no hay información de código de identificación única del dispositivo o la herramienta de generación de contraseña, no se puede obtener la contraseña.

Mecanismo criptográfico más seguro

Para otros modelos de C-Data OLT (OLT llamado FD15XX, FD16XX, FD12XX, FD8000), el problema de "Acceso de puerta trasera con Telnet" no existe, porque estos OLT adoptan un mecanismo criptográfico más seguro. El dispositivo está configurado con varias cuentas generales por defecto de fábrica, incluyendo root/admin, admin/admin y guest/guest, que pueden ser utilizados por los clientes para configurar inicialmente OLT. Los clientes deben crear, eliminar y modificar la cuenta de inicio de sesión y la contraseña del dispositivo de acuerdo con sus propias políticas de seguridad al usar el dispositivo. No recomendamos usar el nombre de usuario y la contraseña predeterminados de fábrica en la red de la operación.

El dispositivo conserva una cuenta de depuración para ayudar a los clientes a depurar y resolver problemas, y esta cuenta también puede ser utilizada por el cliente para encontrar la contraseña olvidada cuando olvidan la contraseña de inicio de sesión de OLT. Sin embargo, la cuenta ya no utiliza la contraseña general, y la contraseña se calcula y genera de acuerdo con la información de identificación única del OLT del cliente. Solo cuando el cliente proporciona la información de código de identificación único junto con la herramienta especial de generación de contraseña se puede generar la contraseña. La contraseña de cada OLT es diferente, lo que garantizará mejor la seguridad del dispositivo.

El requisito de la gestión de inicio de sesión WEB

El Nombre de usuario y la contraseña que se muestran en este artículo son en realidad las necesidades de numerosos usuarios. La cuenta y la contraseña son el nombre de usuario de inicio de sesión y la contraseña en la interfaz de administración web de OLT. Como muchos clientes comentan que algunos de sus personal de mantenimiento Junior pueden olvidar fácilmente el nombre de usuario y la contraseña de la interfaz de administración WEB de OLT, Y esperamos que los gerentes de nivel superior puedan consultar el nombre de usuario y la contraseña de la WEB a través de OLT CLI, proporcionamos este comando a petición del cliente, Para que los clientes puedan verificar el nombre de usuario y la contraseña de inicio de sesión de la WEB por sí mismos a través de la línea de comandos. Creemos que el cliente puede formular un sistema de gestión de seguridad eficaz, gestionar adecuadamente el uso de nombres de usuario y contraseñas para evitar el riesgo de utilizar este comando.

Estrategias y sugerencias de seguridad

El artículo presenta varios esquemas que se pueden usar para atacar el C-DataOLT después de conocer la cuenta y la contraseña del "Acceso de puerta trasera con Telnet" de C-Data desde la perspectiva de los riesgos de seguridad de la red. C-Databelieves que la mayoría de los clientes tienen un conjunto de medidas adecuadas para su propia defensa contra el ciberataque. Las siguientes enumerarán las medidas comunes para defenderse del ciberataque por parte del cliente. Estas medidas pueden proteger al OLT de los siguientes medios de ataque mencionados en el artículo:

* Cáscara de escape con privilegios de raíz

* Pre-Auth Remote DoS

* Credenciales infoleak y credenciales en texto claro (HTTP)

* Algoritmo de cifrado débil

* Interfaces DE GESTIÓN inseguras

Estrategia de defensa 1: En la planificación general de la red, todas las VLAN DE GESTIÓN OLT y las VLAN de servicio en el lado del cliente son diferentes. Si La VLAN de gestión utilizada por el atacante es incorrecta, este tipo de planificación hace que sea imposible acceder al equipo OLT desde el lado de la red del OLT (enlace ascendente) o el lado del usuario (enlace descendente a ONU).

Estrategia de defensa 2: OLT se utiliza como dispositivo de capa de acceso. Para muchos ISP pequeños y medianos, OLT generalmente se implementa en la Intranet de su red. Cuando la intranet va a la red pública, estaPasará a través del router o el dispositivo de firewall. Los servicios como Telnet y HTTP están desactivados en el equipo del router y del firewall; los que acceden al OLT son empleados que tienen acceso al OLT en la Intranet del cliente; en efecto, si hay otro personal que necesite acceder al dispositivo OLT en la intranet a través de la red pública, Necesitan hacer reenvío de puertos en el router o firewall, y solo el cliente conoce las reglas de reenvío, por lo que es difícil para el atacante obtener información y llevar a cabo ataques.

Estrategia de defensa 3: El OLT de C-Data ha creado muchas estrategias de control, que son establecidas por los propios clientes, y puede evitar por completo que los atacantes de red inicien sesión ilegalmente en el dispositivo:

OLT configurando la Estrategia 1:

Puede ser controlado por el control de acceso del sistema OLT para permitir que ciertas direcciones IP específicas o Mac accedan al dispositivo OLT configurado por el cliente y es completamente desconocido para otros.

OLT configurando la Estrategia 2:

El cliente puede activar o desactivar la capacidad de banda externa del OLT. Los clientes pueden desactivar la gestión fuera de banda y utilizar la gestión inband. En este caso, la gestión de dispositivos se logra a través de un canal de gestión dedicado separado de los datos comerciales, por lo que la seguridad de la red es más alta.

OLT configurando la estrategia 3:

El Puerto de acceso web de OLT puede ser modificado por el cliente y puede ser cerrado y abierto por el cliente.

OLT configurando la Estrategia 4:

El OLT se puede configurar con una función ACL perfecta para evitar que el dispositivo sea atacado fácilmente.

Conclusión

El artículo de Pierre Kim y Alexandre Torres resumió en detalle y prueba seriamente el dispositivo de C-Data desde la perspectiva de las vulnerabilidades de seguridad. La intención original del artículo original era retroalimentar las vulnerabilidades de seguridad en el dispositivo, para que los técnicos y usuarios noten los riesgos de seguridad y lleven a cabo precauciones de seguridad efectivas, no es el significado de "puerta trasera del dispositivo OLT" cuando los medios transmitían la difusión, y no debe interpretarse como que C-Data dejó intencionalmente una puerta trasera en el producto. C-Data espera que los productos brinden a los clientes la mejor experiencia y hagan que sea más conveniente para ellos usar el dispositivo. C-Data tiene la capacidad de ayudar a los clientes a establecer mejor estrategias de defensa en seguridad cibernética. C-Data también da la bienvenida a todas las partes a presentar sugerencias razonables, para que el dispositivo de C-Data pueda dar más consideración a los problemas de seguridad de los clientes y la confusión al usar el dispositivo bajo la premisa de brindar comodidad y practicidad a los clientes. ¡Gracias!

Apendix:

Fuente original del documento:

https:// pierrekim. Github. IO/blog/2020-07-07-C-Data-olt-0day-vulnerabilities.html

Reimpresión de medios en línea:

https://www.zdnet.com/article/backdoor-accounts-discovered-in-29-ftth-devices-from-chinese-vendor-c-data/