技术说明

关于Pierre Kim揭露的西迪特OLT安全漏洞的声明

 

我们注意到发表于Github上的“Multiple vulnerabilities found in CDATA OLTs”的文章。西迪特公司对Pierre Kim和Alexandre Torres两位技术界的专业人士所做的工作非常钦佩,感谢他们通过详细的测试发现安全漏洞问题,在降低用户使用网络产品的风险上所做的积极工作。西迪特公司秉持服务客户的理念,始终将客户利益放在第一位,重视产品安全问题,为客户提供具备安全保障的产品。

同时我们也注意到一些媒体发布的新闻稿件,对Pierre Kim和Alexandre Torres的技术文章进行了解读。为了不让广大客户误解我们设备的安全设计,西迪特公司以真诚和坦诚的态度对所提及的技术问题进行分析和澄清。

 

排除仿冒产品

图片1

文章中提到的账号:panger123/suma123。我们对账号和密码进行了调查。确认该帐号和密码不是来自西迪特OLT产品,而是其它公司和人员仿制西迪特公司的OLT时所使用的账号和密码。该仿冒OLT后的CLI风格和大部分命令均是仿制西迪特公司的OLT。西迪特公司的OLT设备已经在全世界广泛被使用,不法者通过仿制西迪特的OLT以达到非法获利的目的。

如下截图完全可以对比分析出panger123/suma123账号出自非法仿制的OLT。

【仿制品命令行风格和版本信息】

图片2

 

【西迪特FD11XX系列OLT版本信息和命令行风格】

图片3

 

使用panger123/suma123账号是无法登录西迪特OLT的,下图为尝试用panger123/suma123账号登录西迪特OLT失败的信息截取。

图片4

文章中分析的“Authentication process with hardcoded credentials”问题。演示的是以telnet方式登录到OLT的bcm-shell并获取OLT的关键信息,相关的信息均是来自仿制品,并非来自于西迪特OLT。截图中红色标示出的账号和密码信息为仿冒品的账户密码信息。

图片5

图片6

 

几个出厂设置帐户的介绍

1.文章中提到的以下两个telnet登录账号和密码确实是在西迪特公司的第一代OLT(以FD11XX开头命名的OLT)上使用:

OLT telnet账号1:debug/debug124

OLT telnet账号2:root/root126

该账号和密码主要用于西迪特公司协助客户调试问题和写入生产参数(OLT mac地址信息,SN信息等)使用。

该账号必须在本地以串口线连接设备的CONSOLE口进行登录,成功登录后方可进入bcm-shell对OLT底层修改和查看信息,在TELENT下仅能进入设备的CLI。

攻击者如果要进入OLT的bcm-shell模式获取设备隐私信息或对OLT植入恶意的程序,必须要通过电脑本地直接连接串口线登录OLT后才能进行,所以远程攻击者是不具备使用这两个账号进行攻击的条件的。

所以完全不存在“Backdoor Access with telnet”的情况。

且这两个账号西迪特已经毫无保留的公开给有需要的客户。客户比较常见的使用的是用于客户需要更改MAC地址时。

 

【下图展示的为通过远程使用debug/debug124和root/root126登录西迪特OLT,尝试进入shell模式提示,OLT提示只支持在CONSOLE直连下进入bcm-shell】

图片7
debug/debug124和root/root126的另一个使用场景是西迪特应客户请求进行远程技术支持时。西迪特的远程接入均事先和客户沟通并得到客户的同。操作时先远程登录到客户的电脑,然后使用这两个账号本地串口登录到设备,和客户配合工作以这种方式来进行网络问题的定位分析。客户技术人全程参与并监督技术服务的过程。

至于是否存在攻击者通过TELNET以这两个账号登录后CLI后对OLT的配置进行修改导致网络安全的问题,我们在后文的安全策略中将予以进一步说明。

 

OLT telnet账号3:guest/[empty]

该账号和密码为出厂时默认配置账户,仅能对OLT做一些基本信息查看,不具备对OLT进行任何配置的权限。用户在使用时可根据需要删除、修改该账户。

 

2、解决方案:由于FD11XX系列OLT是西迪特OLT第一代产品,在账户及密码规则上考虑不周全,缺省密码固定且过于简单,存在被不法分子利用的可能。西迪特将立刻更新发布该款OLT产品软件版本。在新版本中,调试账号不再采用通用固定密码,密码将根据与设备绑定的唯一标识码通过专门的密码生成工具产生。如没有设备的唯一标识码信息或密码生成工具时均无法获知密码。

 

更安全的密码机制

对于西迪特其它型号OLT(以FD15XX,FD16XX,FD12XX开头命名的OLT,FD8000)而言,“Backdoor Access with telnet”问题是不存在的,因为这些OLT采用更加安全的密码机制。设备出厂默认配置有root/admin,admin/admin,guest/guest几个通用账号,供客户初始配置OLT使用。客户在设备使用时需要根据自己的安全策略进行设备登录账号和密码创建、删除和修改操作。我们不建议在运营网络中使用出厂默认的用户名密码。

设备保留有用于协助客户调试和解决问题的调试账号,该账号也可用于客户在忘记OLT的登录密码时方便客户找回忘记的密码。但该账号不再采用通用密码,密码是根据客户的OLT 的唯一标识信息来计算生成。只有客户方提供该唯一标识码信息,并配合专用的密码生成工具才能生成密码。每台OLT的的密码是不一样的,将更好的保障设备安全。

 

WEB管理登录的需求

文中提到的明文显示的用户名和密码,这实际是来自众多用户的需求。该账号和密码是OLT的web管理界面登录的用户名和密码。由于很多客户反馈的他们的一些初级维护人员很容易忘记OLT的web管理界面登录用户名和密码,希望能由更高级的管理者通过OLT CLI查询到WEB的用户名密码,于是我们应客户的要求提供该命令能让客户自行通过命令行来查看WEB的登录用户名和密码。我们相信客户方能制定有效的安全管理制度,妥善管理用户名密码的使用,避免该命令使用的风险。

图片8

 

安全策略建议

 

1.文章中从网络安全风险的角度介绍了在知道西迪特“Backdoor Access with telnet”的账号和密码后可被用来攻击西迪特OLT的几种方案。西迪特相信广大的客户都有一套适合自己防御网络攻击的措施。下面将列举在客户这边常用防御网络攻击的措施,这些措施可使OLT免于受到文章提到的以下攻击手段:

* Credentials infoleak and credentials in clear-text (telnet)
* Escape shell with root privileges
* Pre-Auth Remote DoS
* Credentials infoleak and credentials in clear-text (HTTP)
* Weak encryption algorithm
* Insecure management interfaces

 

防御策略1:通常的网络规划中,客户侧所有的OLT管理VLAN和业务VLAN是不一样的。这种规划使得不管是从OLT的网络侧(上行)还是用户侧(下行往ONU)的网络,攻击者所接网络使用的管理VLAN不正确,是无法访问到OLT设备的。

图片9

 

防御策略2:OLT作为接入层设备,对于很多中小ISP而言,OLT通常是部署在其网络的内网,内网去到公网会经过路由器或防火墙设备,在路由器和防火墙设备上会把telnet,http等服务都禁用;访问OLT的都是客户内网有权限访问OLT的员工;确实有其他人员有经由公网访问处于内网的OLT设备的需要时,需在路由器或防火墙上做端口转发,而转发规则只有客户知道,攻击者是很难获取信息并进行攻击的。

 

防御策略3:西迪特公司的OLT做了很多访问控制策略,这些都是由客户自己去操作设定的,完全可以防止网络攻击者来非法登录到设备:

OLT策略1:

可以通过OLT的system access-control来控制允许某些特定ip地址或mac来访问OLT设备,由客户自行配置,其它人完全是不知晓的。

图片10

策略2:

OLT的带内管理(inband acess)是可以由客户决定开启还是关闭。客户可以关闭带内管理而使用带外管理,此时设备的管理是通过与业务数据分离的专用管理通道实现,网络安全性更高。

图片11

策略3:

OLT的web访问端口是可以由客户自行修改并可以由客户自行关闭和开启。

图片12

策略4:

OLT可以配置完善的acl功能来防止设备轻易被攻击。

图片13

图片14

 

 

结论:

Pierre Kim和Alexandre Torres的文章确实总结的很详细,对西迪特的公司设备从安全漏洞的角度做了认真的测试。原始文章的本意是反馈设备中的安全漏洞,让技术人员和使用者注意到安全风险并进行有效的安全防范,并不是媒体转述传播时的“OLT设备后门”之意,不应被解读为西迪特故意在产品上留下后门。这些“安全漏洞”有考虑不周,也有源自客户需求。西迪特期望产品能给客户最好的体验,能让客户在使用设备时更为便利。西迪特有能力帮助客户更好的建立网络安全方面的防御策略。西迪特也欢迎各方人士提出合理的建议,让西迪特设备在提供给客户便利性和实用性的前提下,又能更多的考虑到客户在使用设备时的安全性问题和困惑。谢谢!

 

附:

文档原始出处:

https://pierrekim.github.io/blog/2020-07-07-cdata-olt-0day-vulnerabilities.html


图片16 
 

网络媒体转载:

https://www.zdnet.com/article/backdoor-accounts-discovered-in-29-ftth-devices-from-chinese-vendor-c-data/


图片17