FiberHome HG6245D路由器

在广泛部署于南美和东南亚的一种流行的FTTH ONT路由器固件中发现了至少28个后门帐户和若干其他漏洞。

FTTH ONT代表光纤到家庭光网络终端。这些是安装在光缆末端的特殊装置。它们的作用是将通过光纤电缆发送的光信号转换成典型的以太网或无线（WiFi）连接。

路由器通常安装在公寓楼或选择千兆位类型订阅的家庭或企业内部。

在href=“https://pierrekim.github.io/blog/2021-01-12-fiberhome-ont-0day-易损性.html“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>上周发布的报告中，安全研究员Pierre Kim表示，他发现了大量与FiberHome HG6245D和FiberHome RP2602有关的安全问题，由中国公司FiberHome Networks开发的两种FTTH ONT路由器型号。

该报告描述了两种路由器型号及其固件的正面和负面问题。

例如，正面问题是两种设备都没有通过IPv4外部接口公开其管理面板，使攻击其网页面板不可能通过互联网。此外，僵尸网络经常滥用的Telnet管理功能在默认情况下也被禁用。

然而，Kim说，FiberHome工程师显然没有为路由器的IPv6接口激活这些相同的保护。Kim指出，设备防火墙只在IPv4接口上有效，而不在IPv6上有效，允许威胁参与者直接访问路由器的所有内部服务，只要他们知道访问设备的IPv6地址。

从这个问题开始，Kim详细列出了他在设备上发现的一长串后门和漏洞，他声称攻击者可以滥用它来接管ISP基础设施。这些问题包括：

• 如果从禁用JavaScript的浏览器访问，管理界面会泄漏设备详细信息。泄露的详细信息之一是设备的MAC地址。
• 后门机制允许攻击者通过发送巧尽心思构建的HTTPS请求[HTTPS://[ip]/Telnet]，使用设备的MAC地址发起到路由器的Telnet连接？enable=0&；key=calculated（BR0\u MAC）]。
• 管理面板的密码和身份验证Cookie以明文形式存储在HTTP日志中。
• 通过存储在设备上的硬编码SSL证书保护管理接口，该证书可下载并用于MitM和其他攻击。
• web服务器（管理面板）包括22个硬编码凭证的列表，Kim认为是由不同的互联网服务提供商添加和使用的。

• 固件还包括用于通过管理设备的硬编码凭据”https://en.wikipedia.org/wiki/TR-069“target=”\u blank“rel=”noopener noreferrer“data component=”externalLink“>TR-069协议
• web服务器二进制文件中也有经过加密的凭据。然而，解密它们的XOR密钥也是二进制的，这使得它们的加密毫无用处。正如Kim所指出的，这与C-Data设备固件中使用的XOR键相同，也NVRAM

，基于他所拥有的硬编码后门账户的数量和性质在设备固件内部发现，Kim说他相信“一些后门是供应商故意设置的。”

ZDNet上周四（1月14日）通过电子邮件和官方网站向FiberHome发送了征求意见的请求，截至发稿时仍未得到答复。

金说，他在2020年1月发现了这些问题，并已通知供应商。研究人员无法确定是否修补了任何错误，因为他从那时起就没有测试过更新版本的固件。

此外，研究人员还警告说，同样的后门/漏洞问题也可能会影响其他FiberHome型号，因为大多数供应商倾向于在不同版本之间重用或稍微编辑固件生产系列。

光纤家庭设备去年被滥用

设备拥有者确保家庭路由器。2019年末，奇虎360的安全研究人员报告称https://blog.netlab.360.com/some-fiberhome-routers-are-being-use-as-ssh-tunneling-proxy-nodes-2/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>威胁参与者已经滥用FiberHome系统来组装僵尸网络，大多数被用作代理网络。

在2020年5月，美国商务部将FiberHome和其他八家中国科技公司列入黑名单，限制其进入美国公司、出口公司、，和技术https://www.commerce.gov/news/press-releases/2020/05/commerce-department-add-nine-chinese-entities-related-human-rights/商务部“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>新闻稿，美国官员称，这9家公司“参与了中国对维吾尔人、哈萨克人、少数民族的镇压、大规模任意拘留、强迫劳动和高科技监控活动中侵犯和践踏人权的行为，以及新疆维吾尔自治区穆斯林少数民族的其他成员为视频监控员工提供1040万欧元

标志性的BugTraq安全邮件列表在27年后关闭

Joker的存储，互联网上最大的梳理论坛，正在通过注册关闭，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof