DBL Technology — крупный китайский производитель коммуникационного оборудования, используемого в компаниях.
2017: Обнаружение закладки в оборудовании
В марте 2017 года стало известно о том, что VoIP-шлюзы DBL Technology оказались снабжены закладкой (бэкдором). Как выяснила компания Trustwave, потенциальный злоумышленник может получить доступ к уязвимым устройствам с root-правами за счет того, что в прошивке устройств присутствует скрытый административный аккаунт.
Уязвимыми оказались VoIP-шлюзы серии GOIP. Скрытый административный аккаунт защищен проприетарной системой аутентификации типа «вызов-ответ» (challenge-response), в которой обнаружилась техническая неисправность. В описании проблемы на сайте Trustwave говорится следующее:
Исследование показало, что эта схема [вопрос-ответ] содержит фундаментальную ошибку: удаленному пользователю нет необходимости знать какие-либо секретные комбинации, кроме самого вызова, нужно лишь иметь представление о протоколе/вычислениях. |
Когда пользователь пытается получить доступ к устройству через протокол Telnet, используя логин dbladm, устройство отправляет несколько UDP-пакетов на IP-адрес 192.168.2.1 на порт 11000/udp. Если на этот запрос приходит корректный ответ, авторизация происходит автоматически.
В Trustwave полагают, что эта незадокументированная схема является артефактом разработки: авторы программной прошивки, вероятнее всего, использовали эту процедуру для тестирования.
Trustwave уведомили вендора о проблеме в середине октября 2016 года. В конце декабря DBL Technology распространила новую прошивку. Процедура аутентификации усложнилась, однако в целом схема осталась прежней. [1]
По-видимому, разработчики DBL Technology не осознали, что проблема заключается в самом наличии ущербного механизма «вызов-ответ», а не в том, насколько просто или сложно произвести его обратную разработку, отметили в Trustwave.
Данная ситуация в очередной раз показывает, как важно для разработчиков производить сторонний аудит своего кода, — говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". — Когда написаны сотни тысяч строк кода, туда слишком легко могут закрасться ошибки, и очень высока вероятность, что останутся фрагменты, которые использовались при тестировании, но не должны были попасть в итоговый релиз. |