首頁 > 安全研究 > 安全通報 > 安全通告

CDATA OLTs中多個0day漏洞通告

發布時間 2020-07-08


0x00 漏洞簡介


2020年7月7日,研究人員Pierre披露了CDATA OLT中存在的多個0day漏洞,對產品的多個版本都有影響。研究人員認為這些后門應是CDATA故意開發的,因此披露漏洞的全部細節,這些漏洞的CVE暫未分配。

CDATA OLT是OEM FTTH OLT,涉及Cdata、OptiLink、V-SOL CN和BLIY等品牌。一些設備支持多個10 Gb上行鏈路,并提供多達1024個ONT(客戶端)的Internet連接。

FTTH(Fiber To The Home),即光纖到戶是指將光網絡單元(ONU)安裝在住家用戶或企業用戶處,是光接入系列中最靠近用戶的光接入網應用類型。FTTH的光纖接入技術有很多種,其中一種是GPON。GPON FTTH非常流行,因為它價格便宜,并且允許人們快速下載合法的視頻點播。

研究人員使用最新固件版本(V1.2.2和2.4.05_000、2.4.04_001和2.4.03_000)在實驗室環境中驗證了針對FD1104B和FD1108SN OLT的漏洞。

通過靜態分析,這些漏洞似乎也會影響所有可用的OLT模型,因為代碼庫類似:

? 72408A

? 9008A

? 9016A

? 92408A

? 92416A

? 9288

? 97016

? 97024P

? 97028P

? 97042P

? 97084P

? 97168P

? FD1002S

? FD1104

? FD1104B

? FD1104S

? FD1104SN

? FD1108S

? FD1204S-R2

? FD1204SN

? FD1204SN-R2

? FD1208S-R2

? FD1216S-R1

? FD1608GS

? FD1608SN

? FD1616GS

? FD1616SN

? FD8000

從分析的二進制文件中,我們提取了有關OEM代理商的信息:


從圖中可以看到,該代理商為西迪特(CDATA),深圳市西迪特科技有限公司是一家專注于提供寬帶網絡接入設備的高科技企業。公司的主要產品包括GPON、EPON網絡設備、EOC網絡設備、CATV光傳輸設備。


0x01 漏洞詳情


此次發現的漏洞包括telnet后門、憑證信息泄漏和明文格式憑證(telnet)、具有root特權的Escape Shell、預身份驗證遠程DoS、憑證信息泄漏和明文憑證(HTTP)、弱加密算法和管理界面不安全,下面進行詳細介紹。

1. telnet后門

攻擊者可以從WAN接口和FTTH LAN接口訪問telnet服務,獲得管理員CLI訪問權限。不同的固件有不同的硬編碼后門憑證,參考如下:

以前的版本可以通過以下方式登錄:

login: suma123。

password: panger123

最新的新版本可以通過以下方式登錄:

login: debug

password: debug124

login: root

password: root126

login: guest

password: [empty]




憑證已從新舊固件映像中提取。

根據不同的供應商和固件版本,CLI的外觀可能有所不同,但訪問仍然有效。

使用suma123/panger123:




使用guest/[empty]:


使用root/root126:

使用debug/debug124:



有了這些訪問權限,攻擊者就可以對產品進行配置。

2. 憑證信息泄漏和明文格式憑證(telnet)

我們假設攻擊者已經具有CLI訪問權限(可以通過使用telnet的Backdoor訪問來實現)。

攻擊者可在CLI中運行命令獲取管理員憑據:


3. 具有root特權的Escape Shell

我們假設攻擊者具有CLI訪問權限(可以通過使用telnet的Backdoor訪問來實現)。

CLI中有命令注入功能,攻擊者可以以root權限執行命令。

命令注入位于TFTP下載配置部分。

我們使用metasploit在192.168.1.101上啟動TFTP服務器,并接收注入命令,結果如下:


在OLT上:


在攻擊者計算機上運行的TFTP服務器上,我們收到命令的輸出cat /proc/cpuinfo:


也可以利用嵌入式Web服務器來泄露信息:

在OLT上:



在攻擊者機器上:


此外,還有很多命令都可以以root權限執行,具體如下:



4. 預身份驗證遠程DoS

攻擊者可以從WAN接口和FTTH LAN接口訪問telnet服務,使用基于IA、機器學習和shawarma的模糊技術,重啟所有OLT。


設備將在接下來的5秒鐘內重啟,所有的LED都將像圣誕樹一樣閃爍。

5. 憑證信息泄漏和明文憑證(HTTP)

攻擊者可以從WAN接口和FTTH LAN接口訪問web服務器,攻擊者可以通過獲取以下文件來提取Web,Telnet憑證和SNMP社區字符串(讀寫):


使用curl:


6. 弱加密算法

存儲密碼使用自定義加密算法,該算法將密碼與硬編碼值*j7a(L#yZ98sSd5HfSgGjMj8;Ss;d)(*&^#@$a2s0i3g進行異或,如下所示:




7. 管理界面不安全

默認情況下,只能使用HTTP、telnet和SNMP遠程管理設備,不支持HTTPS或SSH,攻擊者可以攔截以明文形式發送的密碼,并通過中間人攻擊(MITM)來劫持設備。


0x02 相關新聞


https://seclists.org/fulldisclosure/2020/Jul/7


0x03 參考鏈接


https://pierrekim.github.io/advisories/2020-cdata-0x00-olt.txt

https://pierrekim.github.io/blog/2020-07-07-cdata-olt-0day-vulnerabilities.html

http://pierrekim.github.io/blog/2016-11-01-gpon-ftth-networks-insecurity.html


0x04 時間線


2020-07-08 VSRC發布漏洞通告














上一篇 下一篇