愛爾蘭數萬寬頻moderm存在漏洞可被遠程入侵控制
Eir,愛爾蘭最大的ISP提供商,其為數萬客戶提供使用的Eir D1000 寬頻數據機存在漏洞,可被遠程入侵控制,導致全國大面積網路面臨被攻擊威脅。
背景
本月初,名為「kenzo」的安全研究員針對Eir D1000 modem進行了分析,發現其中開啟了與TR-064和TR-069兩種協議相關的埠號7547。
TR-064
:全稱LAN側DSL被管理設備設置協議,是LAN 端基於 XML 的 CPE 管理協議,允許各種客戶端激活和支持使用案例,特別是在家庭網路環境中。TR-064與TR-069相關。
TR-069
:全稱CPE廣域網管理協議。提供了對下一代網路中家庭網路設備進行管理配置的通用框架和協議,用於從網路側對家庭網路中的網關、路由器、機頂盒等設備進行遠程集中管理。在TR-069所定義的框架中,主要包括兩類邏輯設備:受管理的用戶設備和接入控制伺服器(ACS),ACS負責管理接入設備。採用過去人工方式對設備進行維護和管理將會成為一個巨大的負擔,TR-069的出現正是為了解決這樣一個服務難題。
由於電信公司對遠程設備進行管理的接入控制伺服器(ACS)中同時運行有TR-069和TR-064協議,TR-069應用於廣域網,而TR-064應用於區域網。問題卻出在了這兒,按理來說,在WAN端是不能訪問TR-064協議的,但是針對Eir D1000 modem,在WAN端向其moderm設備的7547埠發送以下TR-064命令之後,將使得攻擊者可以遠程從互聯網端對moderm進行操作配置。
漏洞利用代碼
向數據機發送的經過構造的TR-064命令可以實現兩種操作,一種是moderm端防火牆上開啟80埠,實現網路管理界面遠程訪問,另一種是獲取moderm的wi-fi密碼,該密碼即網路管理界面登錄密碼。漏洞利用代碼參見:
<點擊原文查看下載鏈接>
其它
1、就像2015年初,由於CVE-2014-9222影響固件的「Misfortune Cookie」漏洞一樣,這些bug雖然不是單純的軟體漏洞,但也需要及時修補;
2、愛爾蘭國內還有上千台由Vodafone和其它ISP提供商管理使用的moderm仍然存在該漏洞;
3、Eir公司另一種型號數據機P-660HN-T1A_IPv6同樣存在此漏洞;
4、利用shodan可以發現愛爾蘭將近有70,378台此類moderm受該漏洞影響。
*參考來源:devicereversing,FB小編clouds編譯,轉載請註明來自FreeBuf.COM
TAG: |
※螞蟻礦機被指存在巨大漏洞,70%比特幣算力可被 Bitmain 遠程控制
※rubygems.org遠程命令執行漏洞分析
※黑客入侵Piriform公司,CCleaner被植入遠程管理工具
※可遠程控制3D印表機的遙控器Waggle正在眾籌
※Nat Biotechnol:利用細菌感測器遠程檢測掩埋的地雷
※用JMX遠程監控Tomcat
※Strategy Analytics的研究發現智能家居遠程控制技術並不足夠
※Windows Server中的 WINS 伺服器遠程內存損壞漏洞分析
※開啟Sqlserver遠程訪問
※Beltone遠程解決方案用於聽力損失
※遠程控制軟體:Splashtop 功能強大 設置簡單
※Windows Lnk遠程代碼執行漏洞利用測試
※頭條:黑客可遠程訪問Smiths醫療注射泵
※Google研究人員發現了一個Windows遠程執行漏洞
※iPhone可以這樣開啟對該豪車的遠程控制
※Linux之rsync遠程同步
※如何把Photoshop改造成遠程控制工具來利用
※如何遠程操控一場「物理入侵」 | FreeBuf專訪
※遠程遙控IPTables進行埠復用