0x00 漏洞概述

FiberHome(烽火科技)是信息通信领域设备与网络解决方案提供商。近日，FiberHome FTTH ONT路由器被披露至少存在28个后门和漏洞。

0x01 漏洞详情

FTTH ONT是Fiber-to-the-Home光纤网络终端的缩写，它们是安装在光纤末端的特殊设备，作用是将通过光纤发送的光信号转换为传统的以太网或无线(WiFi)连接。FTTH ONT路由器通常安装在公寓楼或选择千兆用户的家庭或企业内部。

安全研究人员Pierre Kim在上周披露了他在FiberHome开发的FTTH ONT路由器中发现的多个后门和漏洞，攻击者可能会通过利用这些漏洞来控制ISP基础架构。这些漏洞问题包括：

① 如果从禁用JavaScript的浏览器访问，管理界面会泄露设备详细信息，比如设备的MAC地址。

② 后门机制允许攻击者使用设备的MAC地址，通过发送特制的HTTPS请求[https://[ip]/telnet?enable=0&key=calculated(BR0_MAC)]来启动与路由器的Telnet连接。

③ 管理面板的密码和认证cookie以明文形式存储在HTTP日志中。

④ 管理界面通过存储在设备上的硬编码SSL证书来保证安全，但该证书可以被下载并用于MitM和其它攻击。

⑤ 网络服务器(管理面板)包含22个硬编码凭证的列表，研究人员认为这些凭证是由不同的互联网服务提供商添加和使用的。

⑥ 固件还包括用于通过TR-069协议管理设备的硬编码凭证。

⑦ 网络服务器二进制中也有加密的凭证。但解密它们的XOR密钥也在二进制文件中，这使得加密变得毫无用处。正如研究人员所指出的，使用同样的XOR密钥用于C-Data设备的固件，也受到类似的后门问题的影响。

⑧ 其中包括一个Telnet服务器硬编码root密码，但这个服务器默认是被禁用的。

⑨ 固件还包括了低级Telnet账户的不同硬编码凭证，研究人员发现了四个。

⑩ Telnet守护进程中存在一个权限升级漏洞，允许攻击者将其权限提升到root。

⑪ 通过两种不同的方法，可以完全绕过Telnet认证。

⑫ 可以利用拒绝服务漏洞，使Telnet完全崩溃。

⑬ 其它路由器服务的各种密码都以明文形式存储在固件或路由器的NVRAM中。

烽火HG6245D路由器漏洞细节

烽火HG6245D路由器属于GPON FTTH。截止目前，Zoomeye搜索显示，全球共34549台FiberHome HG6245D设备，其中中国分布22080台。

以下是针对HG6245D和RP2602中的漏洞的验证：

Config# show version

show version

Hardware version : WKE2.094.277A01

Software version : RP2602

Minor version : 00.00

Basic part version : RP2602

Generate time : Apr 1 201919:38:05

研究人员在2019年4月已经针对其它fiberhome家庭设备(AN5506-04-FA、固件RP2631)成功测试出了一些漏洞。这些设备的代码库相当相似，所以很可能所有其它fiberhome设备(AN5506-04-FA、AN5506-04-FAT和AN5506-04-F)也存在相似漏洞。

攻击分析：

• 局域网上默认只监听HTTP/HTTPS。

• 也可以通过在web管理界面(https://target/fh)上使用硬编码的凭证，在23/tcp端口上启用CLI telnetd(默认情况下无法访问)。

此外，由于设备防火墙仅在IPv4接口上处于活动状态，而在IPv6处于不活动状态，也就是说，所有的内部服务访问都可以通过IPv6(从互联网)来实现，只要攻击者知道可访问设备的IPv6地址。事实上，从WAN(使用IPv6)和LAN(IPv4或IPv6)以root身份实现对设备的预认证RCE是很简单的。

这种情况下的web服务器可以使用以下方式来访问和控制：

• 启用专有的CLI telnetd (使用HTTP后门凭证或使用后门/telnet HTTP API或在以前的fiberhome路由器中使用堆栈溢出)

• 使用身份认证旁路或后门凭证启用Linux telnetd。

• 使用后门凭证获得Linux telnetd上的root shell。

在不同网络中，这种情况的示例分为4个步骤：

研究人员表示，漏洞的研究是在2020年初完成的，期间某些漏洞可能已经被厂商修复。此外，从2019年开始，Fiberhome设备都存在许多安全问题。

漏洞摘要

1. IPv6连接不安全

2. HTTP服务器-HTTP日志中的密码

3. HTTP服务器-编码的SSL证书

4. HTTP服务器-预认证InfoLeak

5. HTTP服务器-后门允许telnet访问

6. HTTP Server-硬编码凭据

7. HTTP服务器-TR-069硬编码凭据

8. HTTP Server-凭据解密算法

9. Telnet服务器(Linux)-硬编码凭据

10. Telnet服务器(CLI)-硬编码凭据

11. Telnet服务器(CLI)-特权升级

12. Telnet服务器(CLI)-身份验证绕过

13. Telnet服务器(CLI)-绕过身份验证以启动Linuxtelnetd

14. Telnet服务器(CLI)-DoS

15. 系统-凭证以明文形式存储

16. 系统-以明文形式存储在nvram中的密码

17. 其他-HTTP服务器中的远程堆栈溢出(AN5506-04-FA / RP2631)

0x02 处置建议

研究人员于2020年1月14日将漏洞信息通知了厂商，目前相关安全更新暂未发布。

0x03 参考链接

https://pierrekim.github.io/blog/2021-01-12-fiberhome-ont-0day-vulnerabilities.html

https://www.zdnet.com/article/multiple-backdoors-and-vulnerabilities-discovered-in-fiberhome-routers/

0x04 时间线

2021-01-14 Pierre Kim披露漏洞

2021-01-19 VSRC发布安全通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

原文来源：维他命安全