Shenzhen C-Data Technology Co., Ltd.
Shenzhen C-Data Technology Co., Ltd.

Declaración técnica

Noticias de la marca
Jul 14, 2020
Etiqueta de noticias: C-Data C-Data C-Data
Tabla de contenido [Ocultar]

    Declaración sobre Pierre Kim y la revelación de vulnerabilidades de seguridad en productos OLT de C-data


    Hemos visto un artículo titulado “Múltiples vulnerabilidades encontradas en los OLT de C-Data” publicado en Github. C-Data admira el trabajo de dos profesionales del ámbito tecnológico, Pierre Kim y Alexandre Torres, y agradece que hayan identificado brechas de seguridad mediante pruebas detalladas, así como su labor activa para reducir los riesgos de los usuarios al utilizar productos de red. C-Data se rige por la filosofía de servir al cliente y antepone siempre los intereses de éste, prestando especial atención a los problemas de seguridad de los productos. De este modo, C-Data puede ofrecer a sus clientes productos con garantías de seguridad.

    Al mismo tiempo, hemos prestado atención a algunos comunicados de prensa publicados por los medios y hemos interpretado los artículos técnicos de Pierre Kim y Alexandre Torres. Con el fin de evitar que la mayoría de los clientes malinterpreten el diseño de seguridad de nuestros equipos, C-Data analiza y aclara las cuestiones técnicas mencionadas de manera sincera y franca.


    Exclusión de productos falsificados


    La cuenta mencionada en este artículo: panger123/suma123. Hemos investigado la cuenta y la contraseña. Además, hemos confirmado que dicha cuenta y contraseña no proceden de los productos OLT de C-Data, sino que son las utilizadas por otras empresas y personas al copiar el OLT de C-Data. El estilo de la CLI y la mayoría de sus comandos del OLT falsificado están copiados del OLT de C-Data. Los equipos OLT de C-Data se utilizan hoy en día en todo el mundo, y los falsificadores copian el OLT de C-Data para obtener beneficios ilegales.

    Según la siguiente captura de pantalla, podemos comparar y analizar completamente que la cuenta panger123/suma123 proviene de un OLT copiado ilegalmente.

    [Estilo de línea de comandos de la réplica e información de versión]

    [Información de versión y estilo de línea de comandos de la serie de OLT C-Data FD11XX]

    Si se utiliza la cuenta panger123/suma123, nunca se podrá acceder al OLT de C-Data. La siguiente figura muestra la interceptación de la información del intento fallido de iniciar sesión en el OLT de C-Data con la cuenta panger123/suma123.

    Este artículo analiza el problema relativo al “Proceso de autenticación con credenciales fijas”. La demostración indica que se inicia sesión en el bcm-shell del OLT y se recibe la información clave del OLT mediante el método telnet. La información relevante procede en su totalidad de la réplica, no del OLT de C-Data. En las capturas de pantalla, la información de cuenta y contraseña marcada en rojo es la de las falsificaciones.


    Introducción a varias cuentas de configuración de fábrica

    Las siguientes dos cuentas y contraseñas de inicio de sesión telnet mencionadas en este artículo se utilizan realmente en el OLT de primera generación de C-Data (OLT que empiezan por FD11XX):


    Cuenta telnet 1 del OLT: debug/debug124

    Cuenta telnet 2 del OLT: root/root126


    Esta cuenta y contraseña son utilizadas principalmente por C-Data para ayudar a los clientes a depurar problemas y escribir parámetros de producción (información de la dirección MAC del OLT, información del SN, etc.).


    Esta cuenta debe iniciar sesión con éxito en el puerto CONSOLE mediante una línea serie local en el OLT, y a continuación puede entrar en el modo bcm-shell del OLT para modificar y ver información clave del OLT. Si se usa esta cuenta en modo TELNET del OLT, solo se puede acceder a la CLI del dispositivo y no se puede entrar en el bcm-shell del OLT ni modificar la información clave del OLT.


    Si los atacantes quieren entrar en el modo bcm-shell del OLT para obtener información privada del dispositivo o implantar programas maliciosos en el OLT, deben iniciar sesión en el OLT conectándose directamente localmente al puerto serie del ordenador. De este modo, los atacantes remotos no pueden en absoluto utilizar estas dos cuentas para atacar.


    Por lo tanto, no existe la situación de “Acceso por puerta trasera con telnet”.


    Además, en lo que respecta a estas dos cuentas, C-Data las ha revelado sin reservas a los clientes que las necesitan. Un uso habitual por parte de los clientes se produce cuando necesitan modificar la dirección MAC.


    [La siguiente figura muestra cómo iniciar sesión de forma remota en el OLT de C-Data con debug/debug124 y root/root126, y cómo intentar acceder a la línea de comandos del modo shell. Además, la línea de comandos del OLT solo permite entrar en bcm-shell bajo la conexión directa de consola.]


    Otro escenario de uso de debug/debug124 y root/root126 es cuando C-Data ofrece soporte técnico remoto a petición del cliente. Todo el acceso remoto de C-Data se obtiene con el consentimiento del cliente tras consultarlo. Al operar, el operador debe iniciar sesión de forma remota en el ordenador del cliente, luego iniciar sesión en el dispositivo utilizando las conexiones serie locales de estas dos cuentas, y trabajar junto con el cliente para el análisis de posicionamiento de problemas de red. Los técnicos del cliente participan y supervisan el proceso de los servicios técnicos en todo momento.

    En cuanto a si existe el problema de que un atacante inicie sesión en la CLI utilizando estas dos cuentas a través de TELNET y luego cambie la configuración del OLT, provocando problemas de seguridad de red, lo explicaremos más adelante en la política de seguridad.


    Cuenta telnet 3 del OLT: guest/[vacía]

    La cuenta y la contraseña son la cuenta de la configuración predeterminada de fábrica, que solo permite comprobar información básica del OLT, sin tener autoridad para configurar ningún OLT. El usuario puede eliminar o modificar la cuenta según sea necesario al utilizarla.


    Solución: Dado que el OLT de la serie FD11XX es el primer modelo generacional del OLT de C-Data, las reglas de cuenta y contraseña no se consideraron en su totalidad. La contraseña predeterminada es fija y demasiado simple, lo que puede ser aprovechado por delincuentes. C-Data actualizará y lanzará de inmediato la versión de software de este producto OLT. En la versión más reciente, la cuenta de depuración ya no adoptará la contraseña fija general, y la contraseña se generará mediante una herramienta especial de generación de contraseñas de acuerdo con el código de identificación único vinculado al dispositivo. Si no se dispone de la información del código de identificación único del dispositivo o de la herramienta de generación de contraseñas, no se podrá obtener la contraseña.


    Mecanismo criptográfico más seguro

    Para otros modelos de OLT de C-Data (OLT denominados FD15XX, FD16XX, FD12XX, FD8000), no existe el problema de “Acceso por puerta trasera con telnet”, ya que estos OLT adoptan un mecanismo criptográfico más seguro. El dispositivo se configura con varias cuentas generales por defecto de fábrica, incluyendo root/admin, admin/admin y guest/guest, que los clientes pueden utilizar para configurar inicialmente el OLT. Los clientes deben crear, eliminar y modificar la cuenta de inicio de sesión y la contraseña del dispositivo según sus propias políticas de seguridad al utilizarlo. No recomendamos el uso del nombre de usuario y contraseña predeterminados de fábrica en la red operativa.

    El dispositivo conserva una cuenta de depuración para ayudar a los clientes a depurar y resolver problemas, y esta cuenta también puede ser utilizada por el cliente para recuperar la contraseña olvidada del inicio de sesión del OLT. Sin embargo, la cuenta ya no utiliza la contraseña general, y la contraseña se calcula y genera de acuerdo con la información de identificación única del OLT del cliente. Solo cuando el cliente facilita la información del código de identificación único junto con la herramienta especial de generación de contraseñas se puede generar la contraseña. La contraseña de cada OLT es diferente, lo que garantiza mejor la seguridad del dispositivo.


    El requisito de la gestión de inicio de sesión WEB

    El nombre de usuario y la contraseña que se muestran en este artículo responden a las necesidades de numerosos usuarios. La cuenta y la contraseña son el nombre de usuario y la contraseña de inicio de sesión en la interfaz de administración web del OLT. Dado que muchos clientes comentan que parte de su personal de mantenimiento junior puede olvidar fácilmente el nombre de usuario y la contraseña de la interfaz de administración WEB del OLT, y esperan que los administradores de nivel superior puedan consultar el nombre de usuario y la contraseña de la WEB a través del CLI del OLT, proporcionamos este comando a petición del cliente, para que los clientes puedan comprobar el nombre de usuario y la contraseña de inicio de sesión de la WEB por sí mismos a través de la línea de comandos. Creemos que el cliente puede formular un sistema de gestión de seguridad eficaz, administrando adecuadamente el uso de nombres de usuario y contraseñas para evitar el riesgo de utilizar este comando.


    Estrategias y sugerencias de seguridad

    El artículo presenta varios esquemas que pueden utilizarse para atacar el OLT de C-Data una vez conocidas las cuentas y contraseñas del “Acceso por puerta trasera con telnet” de C-Data desde la perspectiva de los riesgos de seguridad de red. C-Data cree que la mayoría de los clientes disponen de un conjunto de medidas adecuadas para su propia defensa contra ciberataques. A continuación se enumeran las medidas comunes para defenderse de los ciberataques por parte del cliente. Estas medidas pueden proteger el OLT de los siguientes medios de ataque mencionados en el artículo:

    * Escape del shell con privilegios de root

    * Denegación de servicio remota previa a la autenticación (Pre-Auth Remote DoS)

    * Fuga de información de credenciales y credenciales en texto claro (HTTP)

    * Algoritmo de cifrado débil

    * Interfaces de gestión inseguras


    Estrategia de defensa 1: En la planificación de red general, todas las VLAN de gestión y VLAN de servicio del OLT en el lado del cliente son diferentes. Si la VLAN de gestión utilizada por el atacante es incorrecta, este tipo de planificación hace imposible acceder al equipo OLT desde el lado de red del OLT (enlace ascendente) o desde el lado de usuario (enlace descendente hacia la ONU).


    Estrategia de defensa 2: El OLT se utiliza como dispositivo de capa de acceso. Para muchos ISP pequeños y medianos, el OLT suele desplegarse en la intranet de su red. Cuando la intranet sale a la red pública, pasará a través de un router o dispositivo firewall. Servicios como telnet y http están desactivados en el router y el equipo firewall; quienes acceden al OLT son empleados que tienen acceso al OLT en la intranet del cliente; efectivamente, si hay otro personal que necesita acceder al dispositivo OLT en la intranet a través de la red pública, debe realizar un reenvío de puertos en el router o firewall, y solo el cliente conoce las reglas de reenvío, por lo que es difícil que el atacante obtenga información y lleve a cabo un ataque.


    Estrategia de defensa 3: El OLT de C-Data ha implementado muchas estrategias de control, las cuales son configuradas por los propios clientes, y puede prevenir completamente que los atacantes de red inicien sesión ilegalmente en el dispositivo:


    Estrategia de configuración del OLT 1:

    Se puede controlar mediante el control de acceso del sistema del OLT para permitir que ciertas direcciones IP o MAC específicas accedan al dispositivo OLT configurado por el cliente, y esto es completamente desconocido para otros.


    Estrategia de configuración del OLT 2:

    El cliente puede activar o desactivar el acceso fuera de banda del OLT. Los clientes pueden desactivar la gestión fuera de banda y utilizar la gestión en banda. En este caso, la administración del dispositivo se logra a través de un canal de gestión dedicado separado de los datos de negocio, por lo que la seguridad de la red es mayor.


    Estrategia de configuración del OLT 3:

    El puerto de acceso web del OLT puede ser modificado por el cliente y puede ser cerrado y abierto por el cliente.


    Estrategia de configuración del OLT 4:

    El OLT se puede configurar con una función ACL completa para evitar que el dispositivo sea atacado fácilmente.


    Conclusión

    El artículo de Pierre Kim y Alexandre Torres sí resume de forma detallada y pone a prueba seriamente el dispositivo de C-Data desde la perspectiva de las vulnerabilidades de seguridad. La intención original del artículo original era informar sobre las vulnerabilidades de seguridad en el dispositivo, para que los técnicos y usuarios notaran los riesgos de seguridad y llevaran a cabo precauciones de seguridad eficaces, no el significado de “puerta trasera en el dispositivo OLT” que los medios transmitieron en su difusión, y no debe interpretarse como que C-Data dejó intencionadamente una puerta trasera en el producto. C-Data espera que los productos proporcionen a los clientes la mejor experiencia y les faciliten el uso del dispositivo. C-Data tiene la capacidad de ayudar a los clientes a establecer mejor estrategias de defensa en ciberseguridad. C-Data también recibe con agrado las sugerencias razonables de todas las partes, para que el dispositivo de C-Data pueda tener más en cuenta los problemas de seguridad y las dudas de los clientes al utilizar el dispositivo bajo la premisa de ofrecer comodidad y practicidad a los clientes. ¡Gracias!


    Apéndice:

    Fuente original del documento:

    https://pierrekim.github.io/blog/2020-07-07-C-Data-olt-0day-vulnerabilities.html


    Reimpresión en medios en línea:

    https://www.zdnet.com/article/backdoor-accounts-discovered-in-29-ftth-devices-from-chinese-vendor-c-data/

    References
    Suscríbase
    Suscríbete para ser el primero en recibir noticias y conocer los próximos productos.
    This website uses cookies to ensure you get the best experience. Some cookies are essential, while others help us improve your experience by analyzing data or showing personalized content.
    For details, please see our Privacy Policy.
    Reject Accept