一 漏洞概述

2020年7月7日,研究人员Pierre披露了CDATA OLT中存在的多个0day漏洞，对产品的多个版本都有影响。研究人员认为这些后门应是CDATA故意开发的，因此披露漏洞的全部细节，这些漏洞的CVE暂未分配。

CDATA OLT是OEM FTTH OLT，涉及Cdata、OptiLink、V-SOL CN和BLIY等品牌。一些设备支持多个10 Gb上行链路，并提供多达1024个ONT（客户端）的Internet连接。

FTTH（Fiber To The Home），即光纤到户是指将光网络单元（ONU）安装在住家用户或企业用户处，是光接入系列中最靠近用户的光接入网应用类型。FTTH的光纤接入技术有很多种，其中一种是GPON。GPON FTTH非常流行，因为它价格便宜，并且允许人们快速下载合法的视频点播。

此次发现的漏洞包括telnet后门、凭证信息泄漏和明文格式凭证（telnet）、具有root特权的Escape Shell、预身份验证远程DoS、凭证信息泄漏和明文凭证（HTTP）、弱加密算法和管理界面不安全。

二 影响版本

可能影响所有可用的OLT模型

三 复现过程

1.telnet后门

攻击者可以从WAN接口和FTTH LAN接口访问telnet服务，获得管理员CLI访问权限。不同的固件有不同的硬编码后门凭证，参考如下：

以前的版本可以通过以下方式登录：

login: suma123。

password: panger123

最新的新版本可以通过以下方式登录：

login: debug

password: debug124

login: root

password: root126

login: guest

password: [empty]

凭证已从新旧固件映像中提取。

根据不同的供应商和固件版本，CLI的外观可能有所不同，但访问仍然有效。

使用suma123/panger123：

使用guest/[empty]：

使用root/root126：

使用debug/debug124：

有了这些访问权限，攻击者就可以对产品进行配置。

2.凭证信息泄漏和明文格式凭证（telnet）

我们假设攻击者已经具有CLI访问权限（可以通过使用telnet的Backdoor访问来实现）。

攻击者可在CLI中运行命令获取管理员凭据：

3.具有root特权的Escape Shell

我们假设攻击者具有CLI访问权限（可以通过使用telnet的Backdoor访问来实现）。

CLI中有命令注入功能，攻击者可以以root权限执行命令。

命令注入位于TFTP下载配置部分。

我们使用metasploit在192.168.1.101上启动TFTP服务器，并接收注入命令，结果如下：

在OLT上：

在攻击者计算机上运行的TFTP服务器上，我们收到命令的输出cat /proc/cpuinfo：

也可以利用嵌入式Web服务器来泄露信息：

在OLT上：

在攻击者机器上：

此外，还有很多命令都可以以root权限执行，具体如下：

4.预身份验证远程DoS

攻击者可以从WAN接口和FTTH LAN接口访问telnet服务，使用基于IA、机器学习和shawarma的模糊技术，重启所有OLT。

设备将在接下来的5秒钟内重启，所有的LED都将像圣诞树一样闪烁。

5.凭证信息泄漏和明文凭证（HTTP）

攻击者可以从WAN接口和FTTH LAN接口访问web服务器，攻击者可以通过获取以下文件来提取Web，Telnet凭证和SNMP社区字符串（读写）：

使用curl：

6.弱加密算法

存储密码使用自定义加密算法，该算法将密码与硬编码值*j7a(L#yZ98sSd5HfSgGjMj8;Ss;d)(*&^#@$a2s0i3g进行异或，如下所示：

7.管理界面不安全

默认情况下，只能使用HTTP、telnet和SNMP远程管理设备，不支持HTTPS或SSH，攻击者可以拦截以明文形式发送的密码，并通过中间人攻击（MITM）来劫持设备。

四 时间线

Pierre披露CDATA OLT中多个0day漏洞时间：2020年7月7日

知道创宇发布漏洞情报时间：2020年7月8日

五 相关链接

Pierre：https://pierrekim.github.io/blog/2020-07-07-cdata-olt-0day-vulnerabilities.html