Исследователи безопасности обнаружили 5 уязвимостей в модемах от производителя Arris. При этом три уязвимости оказались бэкдор-аккаунтами, одна ошибка позволяла удаленное выполнение команд и еще одна — обойти настройки безопасности межсетевого экрана.
Неизменяемые учетные записи на устроствах могут использоваться злоумышленниками для получения полного доступа к модему. Злоумышленник сможет, например, установить свою прошивку и подключить модем к ботнету.
Согласно отчету Nomotion, недостатки находятся как в стандартной прошивке Arris, так и в дополнительном коде, добавленном производителями оборудования.
Исследователи заявили, что уязвимости присутствуют в модемах модели NVG589 и NVG599. Обе модели отсутствуют на web-сайтe производителя и больше не поддерживаются.Тем не менее по данным ресурсов Censys и Shodan к Сети подключено не менее 220 000 уязвимых устройств.
Первый бэкдор присутствует в модемах, доступных по протоколу SSH. Злоумышленники могут использовать логин и пароль по умолчанию (remotessh / 5SaP9I26) для аутентификации на любом модеме с получением root-прав. Исследователи заявили, что они идентифицировали только 15 000 модемов Arris с этим бэкдором, то есть провайдеры или производители оборудования, скорее всего, заблокировали внешний доступ по SSH к большинству устройств.
Второй бэкдор есть в модемах, которые поставляются со встроенным web-сервером, который запускает свою внутреннюю панель администратора. Злоумышленники могут аутентифицироваться в порте 49955 с именем пользователя «tech» и пустым паролем. Это позволяет злоумышленникам запускать команды оболочки в контексте web-сервера.
Еще один бэкдор требует, чтобы злоумышленник знал серийный номер устройства. Если у атакующего есть эта информация, то он может аутентифицироваться через порт 61001, введя логин и пароль «bdctest / bdctest» В этом аккаунте отображаются сведения о журналах, учетных данных Wi-Fi модема и MAC-адресах внутренних узлов, говорят исследователи.
Nomotion опубликовал на своем сайте инструкции, позволяющие пользователям защититься от эксплуатации обнаруженных уязвимостей.

Источник: securitylab.ru