forum.opennet.ru

Составление сообщения

Исходное сообщение

"В оборудовании Siklu EtherHaul выявлен общедоступный root-бэ..."
Отправлено opennews, 06-Июн-16 10:14

В радиорелейных станциях Siklu EtherHaul, применяемых у операторов связи в качестве каналообразующего радиооборудования и для соединения "последней мили", выявлен (http://iancaling.tumblr.com/post/145309944453/siklu-etherhau...) бэкдор, проявляющийся в наличии в прошивке, основанной на Linux, предопределённого аккаунта для получения доступа с правами root. В выявленном аккаунте используется общий для всех устройств пароль и его невозможно поменять штатными средствами. С учётом того, что аккаунтом можно воспользоваться через ssh и web-интерфейс, любой желающий может получить полный контроль над оборудованием Siklu EtherHaul, если оно не ограждено от основной сети межсетевым экраном.
Устройства Siklu EtherHaul достаточно популярны у операторов связи и часто используется для организации каналов связи на гигабитных скоростях в труднодоступных местах. Судя по всему, проблема давно известна в узком кругу злоумышленников, так как участие устройств Siklu EtherHaul в проведении атак фиксируется ещё с прошлого года. Подобные атаки подтолкнули к более детальному изучению проблемы. Распаковав содержимое прошивки при помощи утилиты unsquashfs исследователь к удивлению обнаружил в файле /etc/shadow наличие хэша пароля для привилегированного аккаунта root, а также двух системных аккаунтов sshd и emergency.
Дальнейший поиск показал, что пароль root в открытом виде сохранён в файле /etc/www/main/copy.bat (пароль состоял из 7 символов в нижнем регистре), а пароли sshd и emergency достаточно быстро были подобраны по хэшам при помощи пакета John the Ripper. Все пароли успешно проходили для доступа по ssh или через web-интерфейс. Уязвимость была выявлена в декабре прошлого года, после уведомления о проблеме, компания Siklu, спустя два месяца, выпустила в феврале прошивку 6.9.0, в которой уязвимость была устранена. Но компания Siklu пошла по пути скрытия от пользователей факта уязвимости и в примечании к релизу не упомянула об исправлении столь серьёзной уязвимости. Более того, новая прошивка доступна не для всех моделей устройств (например, для EH-1200/TL обновления до сих пор нет), а обновление носит опциональный характер (не обязательно для установки).
URL: http://iancaling.tumblr.com/post/145309944453/siklu-etherhau...
Новость: https://www.opennet.ru/opennews/art.shtml?num=44551

Исходное сообщение
"В оборудовании Siklu EtherHaul выявлен общедоступный root-бэ..." Отправлено opennews, 06-Июн-16 10:14
В радиорелейных станциях Siklu EtherHaul, применяемых у операторов связи в качестве каналообразующего радиооборудования и для соединения "последней мили", выявлен (http://iancaling.tumblr.com/post/145309944453/siklu-etherhau...) бэкдор, проявляющийся в наличии в прошивке, основанной на Linux, предопределённого аккаунта для получения доступа с правами root. В выявленном аккаунте используется общий для всех устройств пароль и его невозможно поменять штатными средствами. С учётом того, что аккаунтом можно воспользоваться через ssh и web-интерфейс, любой желающий может получить полный контроль над оборудованием Siklu EtherHaul, если оно не ограждено от основной сети межсетевым экраном. Устройства Siklu EtherHaul достаточно популярны у операторов связи и часто используется для организации каналов связи на гигабитных скоростях в труднодоступных местах. Судя по всему, проблема давно известна в узком кругу злоумышленников, так как участие устройств Siklu EtherHaul в проведении атак фиксируется ещё с прошлого года. Подобные атаки подтолкнули к более детальному изучению проблемы. Распаковав содержимое прошивки при помощи утилиты unsquashfs исследователь к удивлению обнаружил в файле /etc/shadow наличие хэша пароля для привилегированного аккаунта root, а также двух системных аккаунтов sshd и emergency. Дальнейший поиск показал, что пароль root в открытом виде сохранён в файле /etc/www/main/copy.bat (пароль состоял из 7 символов в нижнем регистре), а пароли sshd и emergency достаточно быстро были подобраны по хэшам при помощи пакета John the Ripper. Все пароли успешно проходили для доступа по ssh или через web-интерфейс. Уязвимость была выявлена в декабре прошлого года, после уведомления о проблеме, компания Siklu, спустя два месяца, выпустила в феврале прошивку 6.9.0, в которой уязвимость была устранена. Но компания Siklu пошла по пути скрытия от пользователей факта уязвимости и в примечании к релизу не упомянула об исправлении столь серьёзной уязвимости. Более того, новая прошивка доступна не для всех моделей устройств (например, для EH-1200/TL обновления до сих пор нет), а обновление носит опциональный характер (не обязательно для установки). URL: http://iancaling.tumblr.com/post/145309944453/siklu-etherhau... Новость: https://www.opennet.ru/opennews/art.shtml?num=44551

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В радиорелейных станциях Siklu EtherHaul, применяемых у операторов связи в качестве каналообразующего 
> радиооборудования и для соединения "последней мили", выявлен (http://iancaling.tumblr.com/post/145309944453/siklu-etherhaul-hidden-root-account) 
> бэкдор, проявляющийся в наличии в прошивке, основанной на Linux, предопределённого аккаунта 
> для получения доступа с правами root. В выявленном аккаунте используется общий 
> для всех устройств пароль и его невозможно поменять штатными средствами. С 
> учётом того, что аккаунтом можно воспользоваться через ssh и web-интерфейс, любой 
> желающий может получить полный контроль над оборудованием Siklu EtherHaul, если оно 
> не ограждено от основной сети межсетевым экраном.

> Устройства Siklu EtherHaul достаточно популярны у операторов связи и часто используется 
> для организации каналов связи на гигабитных скоростях в труднодоступных местах. Судя 
> по всему, проблема давно известна в узком кругу злоумышленников, так как 
> участие устройств Siklu EtherHaul в проведении атак фиксируется ещё с прошлого 
> года. Подобные атаки подтолкнули к более детальному изучению проблемы. Распаковав содержимое 
> прошивки при помощи утилиты unsquashfs исследователь к удивлению обнаружил в файле 
> /etc/shadow наличие хэша пароля для привилегированного аккаунта root, а также двух 
> системных аккаунтов sshd и emergency.

> Дальнейший поиск показал, что пароль root в открытом виде сохранён в файле 
> /etc/www/main/copy.bat (пароль состоял из 7 символов в нижнем регистре), а пароли 
> sshd и emergency достаточно быстро были подобраны по хэшам при помощи 
> пакета John  the Ripper. Все пароли успешно проходили для доступа 
> по ssh или через web-интерфейс. Уязвимость была выявлена в декабре прошлого 
> года, после уведомления о проблеме, компания Siklu, спустя два месяца, выпустила 
> в феврале прошивку 6.9.0, в которой уязвимость была устранена. Но компания 
> Siklu пошла по пути скрытия от пользователей факта уязвимости и в 
> примечании к релизу не упомянула об исправлении столь серьёзной уязвимости. Более 
> того, новая прошивка доступна не для всех моделей устройств (например, для 
> EH-1200/TL обновления до сих пор нет), а обновление носит опциональный характер 
> (не обязательно для установки).

> URL: http://iancaling.tumblr.com/post/145309944453/siklu-etherhaul-hidden-root-account 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=44551

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру