Tylna furtka w tylnej furtce we wszystkich modemach Arrisa

dodał 22 listopada 2015 o 12:22 w kategorii Błędy  z tagami:
Tylna furtka w tylnej furtce we wszystkich modemach Arrisa

Przyzwyczailiście się już do tylnych furtek w domowych ruterach? My ciągle jeszcze nie potrafimy zrozumieć dlaczego producenci tych urządzeń nadal uważają, że zdalny dostęp dla każdego to bardzo dobry pomysł.

Masz zaproszenie na ciekawą konferencję i nie masz żadnego pomysłu na prezentację? Weź dowolny domowy ruter lub modem i zajrzyj do jego oprogramowania a coś się na pewno znajdzie. W ten właśnie sposób brazylijski haker zlokalizował tylną furtkę w tylnej furtce prawdopodobnie wszystkich modemów firmy Arris, swojego czasu popularnych również w polskich sieciach kablowych.

Hasło dnia i administratora

Bernardo wiedział, że modemy Arrisa posiadają tylną furtkę, czyli funkcję umożliwiającą dostęp do powłoki modemu osobie znającej specjalne „hasło dnia”. Algorytm jego generowania oczywiście został dość szybko ustalony i od 2009 roku nie był dla nikogo tajemnicą. Arris nie uważał tego za problem, między innymi dlatego, ze dostęp umożliwiał głównie uruchomienie narzędzi diagnostycznych, nie dając pełnej kontroli nad urządzeniem. Tylna furtka polega na tym, że najpierw trzeba zalogować się do interfejsu modemu „hasłem dnia”, by odblokować nieudokomentowany interfejs WWW dla techników pod adresem

Następnie należy włączyć dostęp przez telnet i SSH. Potem jest już z górki – wystarczy podać właściwe hasło przy logowaniu i otrzymuje się dostęp do powłoki o ograniczonych uprawnieniach.

Ekran logowania

Ekran logowania

Kiedy jednak Bernardo przyjrzał się fragmentowi kodu odpowiedzialnemu za obsługę tej znanej tylnej furtki, znalazł w niej furtkę nieznaną. Jeśli podacie podczas logowania inne hasło, oparte o 5 ostatnich cyfr numeru seryjnego modemu, otrzymacie od razu dostęp do pełnej wersji powłoki.

Dwie tylne furtki

Dwie tylne furtki

Bernardo przekazał swoje odkrycie dostawcy, który poprosił o wstrzymanie się z publikacją informacji o algorytmie generowania tego drugiego hasła i obiecał aktualizację oprogramowania. Haker miał trochę czasu i fantazję, zatem napisał keygena w starym stylu i nagrał demonstrację tylnej furtki w akcji:

Na filmie najbardziej (oprócz odpowiedniej ściezki dźwiękowej) podobała się nam metoda omijania zapisów licencji (zapewne nie pozwalającej na inżynierię wsteczną):

Trzeba przyznać że to wyśmienity pomysł (choć pewnie prawnicy się nie zgodzą). Przy okazji jego publikacji odezwał się inny badacz, który udostępnił niezwykle wyrafinowaną technikę podnoszenia uprawnień  w ograniczonej powłoce. W skrócie wygląda ona tak:

Jedyny komentarz

Jedyny komentarz

Podatne na te błędy są prawdopodobnie wszystkie modele modemów – a przynajmniej każdy sprawdzony przez autora odkrycia. Arris ma wkrótce opublikować aktualizacje, jednak trochę potrwa, zanim znajdzie się ona na Waszych modemach, ponieważ nowe oprogramowanie musi najpierw przejść cała procedurę testów u operatora, który modemami zarządza. Co tu dużo mówić – jeśli macie modem Arrisa to upewnijcie się, że nie jego interfejs WWW nie jest dostępny z zewnętrznej adresacji oraz że nie jest dostępny pod domyślnym adresem IP 192.168.100.1 (ewentualne automatyczne ataki wykorzystujące lokalne skrypty JS będą go tam szukać).