DBL Technology(得伯樂科技有限公司)是一家位于深圳的通訊設(shè)備生產(chǎn)商,主要產(chǎn)品包括GSM語音網(wǎng)關(guān),IP電話網(wǎng)關(guān),企業(yè)級(jí)軟交換等,多用于電話公司及VoIP服務(wù)商。
具體來講,該系列網(wǎng)關(guān)在產(chǎn)品文檔里向用戶提供了兩個(gè)可用于Telnet登錄的帳號(hào):“ctlcmd”與“limitsh”。這兩個(gè)帳號(hào)提供有限的權(quán)限,且可由用戶自行更改密碼。然而這次的問題出在第三個(gè)帳號(hào):“dblamd”身上。據(jù)Trustwave分析,該帳號(hào)未被列入產(chǎn)品文檔,可能僅用于測(cè)試階段。“dbladm”具有root級(jí)別的權(quán)限,并應(yīng)用了“挑戰(zhàn)-響應(yīng)”(challenge-response)身份驗(yàn)證技術(shù)。該驗(yàn)證方式會(huì)在用戶申請(qǐng)登錄后發(fā)送一個(gè)字符串(即challenge信息),然后用戶根據(jù)自己的密鑰或算法加密challenge信息再返還給服務(wù)器進(jìn)行驗(yàn)證(即response)。
但Trustwave的安全研究團(tuán)隊(duì)表示,該機(jī)制較容易被破解利用。負(fù)責(zé)向用戶發(fā)送challenge的代碼就位于設(shè)備ROM中的“sbin/login”下,通過對(duì)這些代碼的逆向分析,安全人員發(fā)現(xiàn)只要有challenge的值,黑客就可以計(jì)算出對(duì)應(yīng)的MD5哈希值,做出response,完成登錄。而challenge完全可以通過一些自動(dòng)腳本獲取。一旦完成以上步驟,黑客就會(huì)擁有對(duì)設(shè)備的完全控制,可以監(jiān)聽流量,或利用其發(fā)起DDoS一類的攻擊。
代碼拆解后得到的結(jié)果
Trustwave在去年10月13日向廠商報(bào)告了此問題,隨后廠商在12月22日發(fā)布了固件更新版本。但是經(jīng)過查證,
更新后的設(shè)備依然存在同樣的問題,只不過機(jī)制稍微復(fù)雜了一些。Trustwave在報(bào)告中如此評(píng)論:
更新后的設(shè)備依然存在同樣的問題,只不過機(jī)制稍微復(fù)雜了一些。Trustwave在報(bào)告中如此評(píng)論:
“似乎DBL Tek的工程師并沒有認(rèn)識(shí)到問題的關(guān)鍵在于該認(rèn)證機(jī)制上存在的缺陷,而不是它是否容易被逆向的問題。”
據(jù)稱,目前受到影響的網(wǎng)關(guān)版本為:GoIP 1,4,8,16和32(Trustwave開始只測(cè)試了8通道的GoIP GSM網(wǎng)關(guān),但由于該系列其
- 2016年2月,Pen Test Partners的研究人員發(fā)現(xiàn)中國廠商MVPower生產(chǎn)的DVR中存在類似的隱藏后門;
- 同一周,Risk Based Security發(fā)現(xiàn)中國廠商RaySharp生產(chǎn)的DVR中存在同樣問題;
- 2013年11月,浙江大華DVR設(shè)備被曝后門與認(rèn)證繞過問題;
- 安卓設(shè)備方面,去年秋天上海Adups Technology(廣升信息技術(shù)有限公司)和Ragentek Group(銳嘉科)安卓組件中的后門;
