近日，網(wǎng)絡(luò)安全公司Trustwave發(fā)布了一份報(bào)告，稱在一家名為DBL Technology（得伯樂科技）的中國(guó)公司生產(chǎn)的GoIP GSM語音網(wǎng)關(guān)中發(fā)現(xiàn)了一個(gè)隱藏后門（…due to a vendor backdoor…）。該后門存在于設(shè)備的Telnet服務(wù)中，黑客可利用其身份驗(yàn)證機(jī)制上的漏洞獲取具有root權(quán)限的shell。事實(shí)上，這也不是國(guó)產(chǎn)設(shè)備第一次被發(fā)現(xiàn)留有后門，如之前我們報(bào)道過的銳嘉科與上海廣升。

DBL Technology（得伯樂科技有限公司）是一家位于深圳的通訊設(shè)備生產(chǎn)商，主要產(chǎn)品包括GSM語音網(wǎng)關(guān)，IP電話網(wǎng)關(guān)，企業(yè)級(jí)軟交換等，多用于電話公司及VoIP服務(wù)商。

具體來講，該系列網(wǎng)關(guān)在產(chǎn)品文檔里向用戶提供了兩個(gè)可用于Telnet登錄的帳號(hào)：“ctlcmd”與“limitsh”。這兩個(gè)帳號(hào)提供有限的權(quán)限，且可由用戶自行更改密碼。然而這次的問題出在第三個(gè)帳號(hào)：“dblamd”身上。據(jù)Trustwave分析，該帳號(hào)未被列入產(chǎn)品文檔，可能僅用于測(cè)試階段。“dbladm”具有root級(jí)別的權(quán)限，并應(yīng)用了“挑戰(zhàn)-響應(yīng)”（challenge-response）身份驗(yàn)證技術(shù)。該驗(yàn)證方式會(huì)在用戶申請(qǐng)登錄后發(fā)送一個(gè)字符串（即challenge信息），然后用戶根據(jù)自己的密鑰或算法加密challenge信息再返還給服務(wù)器進(jìn)行驗(yàn)證（即response）。

但Trustwave的安全研究團(tuán)隊(duì)表示，該機(jī)制較容易被破解利用。負(fù)責(zé)向用戶發(fā)送challenge的代碼就位于設(shè)備ROM中的“sbin/login”下，通過對(duì)這些代碼的逆向分析，安全人員發(fā)現(xiàn)只要有challenge的值，黑客就可以計(jì)算出對(duì)應(yīng)的MD5哈希值，做出response，完成登錄。而challenge完全可以通過一些自動(dòng)腳本獲取。一旦完成以上步驟，黑客就會(huì)擁有對(duì)設(shè)備的完全控制，可以監(jiān)聽流量，或利用其發(fā)起DDoS一類的攻擊。

　　代碼拆解后得到的結(jié)果

Trustwave在去年10月13日向廠商報(bào)告了此問題，隨后廠商在12月22日發(fā)布了固件更新版本。但是經(jīng)過查證，更新后的設(shè)備依然存在同樣的問題，只不過機(jī)制稍微復(fù)雜了一些。Trustwave在報(bào)告中如此評(píng)論：

“似乎DBL Tek的工程師并沒有認(rèn)識(shí)到問題的關(guān)鍵在于該認(rèn)證機(jī)制上存在的缺陷，而不是它是否容易被逆向的問題。”

據(jù)稱，目前受到影響的網(wǎng)關(guān)版本為：GoIP 1，4，8，16和32（Trustwave開始只測(cè)試了8通道的GoIP GSM網(wǎng)關(guān)，但由于該系列其他型號(hào)具有同樣的認(rèn)證算法，據(jù)推測(cè)可能也受到影響。）

系列回顧

2016年2月，Pen Test Partners的研究人員發(fā)現(xiàn)中國(guó)廠商MVPower生產(chǎn)的DVR中存在類似的隱藏后門；

同一周，Risk Based Security發(fā)現(xiàn)中國(guó)廠商RaySharp生產(chǎn)的DVR中存在同樣問題；

2013年11月，浙江大華DVR設(shè)備被曝后門與認(rèn)證繞過問題；

安卓設(shè)備方面，去年秋天上海Adups Technology（廣升信息技術(shù)有限公司）和Ragentek Group（銳嘉科）安卓組件中的后門；

*參考來源：bleepingcomputer，F(xiàn)B小編cxt編譯，轉(zhuǎn)載請(qǐng)注明來自FreeBuf.COM