- 19,427
- 40
- 8 Ноя 2022
Исследователи обнаружили пугающе простой способ перехвата сетевого оборудования.
Серьёзная Для просмотра ссылки Войдиили Зарегистрируйся в устаревших сетевых устройствах Calix позволяет выполнить удалённый код с правами root без необходимости авторизации. Проблема затрагивает устройства, больше не поддерживаемые производителем, и может использоваться злоумышленниками для полного захвата контроля над системой. Уязвимость обнаружена на TCP-порту 6998, который используется устаревшей реализацией протокола CWMP (TR-069) для удалённого управления.
Корень проблемы — в отсутствии корректной фильтрации пользовательского ввода в сервисе CWMP. Злоумышленник может передать вредоносную команду, используя синтаксис обратных кавычек или подстановку вида $(), что приведёт к выполнению произвольной системной команды на устройстве. Согласно результатам технического анализа, даже простая команда вроде $(id) возвращает uid=0, что указывает на исполнение кода от имени суперпользователя.
Исследование Для просмотра ссылки Войдиили Зарегистрируйся независимый исследователь в сотрудничестве с SSD Secure Disclosure. Он подчеркнул, что эксплойт крайне прост и не требует ввода логина или пароля. Атака может быть реализована с соседнего узла в сети путём отправки одного специально составленного пакета на порт 6998.
В список затронутых устройств входят Calix 812Gv2, 813Gv2, 813Gv2-2, а также оборудование 5VT Series, выпускавшееся под брендом Calix сторонними производителями. Конкретный перечень ребрендированных устройств не обнародован. Важно отметить, что новая линейка Gigacenter уязвимости не подвержена — используемый в ней CWMP-сервис не доступен локально.
Компания Calix подтвердила, что проблема затрагивает исключительно снятые с поддержки модели. В официальном комментарии представители заявили о завершении анализа и пообещали выпустить рекомендации по немедленной изоляции уязвимых систем. В числе предлагаемых мер — отключение устройств, прослушивающих порт 6998, изоляция сетевого сегмента, а при наличии обновлений — установка прошивки. Однако из-за прекращения поддержки многие модели, вероятно, не получат исправлений вообще.
Во время сканирования сети исследователи заметили, что устройства на порту 6998 открывают сессию с приглашением вида cwmp.0001>, что указывает на наличие интерфейса взаимодействия с сервисом CWMP. Отсутствие аутентификации делает уязвимость особенно опасной: она может быть использована для движения по сети, кражи данных или установки постоянного бэкдора.
Специалисты по информационной безопасности предупреждают о рисках, связанных с эксплуатацией устаревшего IoT-оборудования. Представитель SecureNet, Джейн Смит, отметила, что подобные устройства часто остаются незамеченными в IT-инфраструктуре, создавая незакрытые входы для злоумышленников. Рекомендуется провести Для просмотра ссылки Войдиили Зарегистрируйся сетей, выполнить сканирование на наличие открытого порта 6998, изолировать устаревшие устройства и отслеживать аномалии в их работе.
На момент публикации Calix не уточнил, когда именно будет выпущено официальное уведомление. Пока оно не опубликовано, единственным способом защититься остаётся ручная изоляция и замена уязвимого оборудования.
Серьёзная Для просмотра ссылки Войди
Корень проблемы — в отсутствии корректной фильтрации пользовательского ввода в сервисе CWMP. Злоумышленник может передать вредоносную команду, используя синтаксис обратных кавычек или подстановку вида $(), что приведёт к выполнению произвольной системной команды на устройстве. Согласно результатам технического анализа, даже простая команда вроде $(id) возвращает uid=0, что указывает на исполнение кода от имени суперпользователя.
Исследование Для просмотра ссылки Войди
В список затронутых устройств входят Calix 812Gv2, 813Gv2, 813Gv2-2, а также оборудование 5VT Series, выпускавшееся под брендом Calix сторонними производителями. Конкретный перечень ребрендированных устройств не обнародован. Важно отметить, что новая линейка Gigacenter уязвимости не подвержена — используемый в ней CWMP-сервис не доступен локально.
Компания Calix подтвердила, что проблема затрагивает исключительно снятые с поддержки модели. В официальном комментарии представители заявили о завершении анализа и пообещали выпустить рекомендации по немедленной изоляции уязвимых систем. В числе предлагаемых мер — отключение устройств, прослушивающих порт 6998, изоляция сетевого сегмента, а при наличии обновлений — установка прошивки. Однако из-за прекращения поддержки многие модели, вероятно, не получат исправлений вообще.
Во время сканирования сети исследователи заметили, что устройства на порту 6998 открывают сессию с приглашением вида cwmp.0001>, что указывает на наличие интерфейса взаимодействия с сервисом CWMP. Отсутствие аутентификации делает уязвимость особенно опасной: она может быть использована для движения по сети, кражи данных или установки постоянного бэкдора.
Специалисты по информационной безопасности предупреждают о рисках, связанных с эксплуатацией устаревшего IoT-оборудования. Представитель SecureNet, Джейн Смит, отметила, что подобные устройства часто остаются незамеченными в IT-инфраструктуре, создавая незакрытые входы для злоумышленников. Рекомендуется провести Для просмотра ссылки Войди
На момент публикации Calix не уточнил, когда именно будет выпущено официальное уведомление. Пока оно не опубликовано, единственным способом защититься остаётся ручная изоляция и замена уязвимого оборудования.
- Источник новости
- www.securitylab.ru
