ZTEルーターモデルZXHN H198Aを持っています。
最近、Telnetで(もちろん、デフォルトのユーザー名とパスワードを使用して)接続したときに、ファイルシステムを調べることにしました。次に、/etc/dropbear
にDropbear SSHサーバーがインストールされていることに気付きました。さらに調べたところ、authorized_keys
ファイルが存在することがわかりました。
ファイルの内容は次のとおりです。
sSH-DSS AAAAB3NzaC1kc3MAAACBAJa07l9167yfS6MyvmU9KLFCcazA81w1046fsy6wDpuOPsxdhy3S57ScJI4PaJKUBe9n3JMnhoixFHgxvBC6aEDuxCv/5uBZUaJmLNTItVxtdf53tW + RF + T + JrDt8NbBSXK0CANLSa1TNW8QBqjGOkYpwjgLcWxqJAd0JMKkxe57AAAAFQCUjTtXIlXxcM5Dm0janESDSGxrBQAAAIAYz8yZgJJPUhQR6uVQDBWHtqI/92xnRV4zWx + RFf2qF3 + YVnbew9NIOCb8PzweeC2Gij3QytMFvJchkqKB1BDJiN9y/GxbgZb73DZnM6brlb6ZCb8m/xEmVqK6HX/PJlbwj7uHdzqaBERsvc6CJrZlQVfh0H5ymIDJbfyZeE4CfwAAAIA3aX33tPW0rxpXxX2LYSXHVGzh1UPYkjf5WWF6nWaxK4JwZdSxRorj + uRTMXrx0otPs2DzQx370KlUvfwXQdD + PEKsXlYSxx/KwZ4QzS3PYierbWbPOzVVxmSSaBEh2MFkZ + L5GMnkTL3foWDN0HDjtPvjNhwLHEkL6 + HslXM2Ug == [email protected]
sSH-RSA AAAAB3NzaC1yc2EAAAABIwAAAIEA3R0au/8rJR9Kr7WZkCzG8Dne7Hf5VpOt7UYUxtytbyUJlAq + FrUZBP1mAxYgdwSBKQbkTcnTodj6RuHQ777d1aCdODvcOI6ntqbHRAQ0LLpIAlg5C4R6JlNmCNA3XUl2oht/40d7xbdUsRIsFMnaARAYa8SSmB1irCstEG8g10k = [email protected]
よく見ると、ユーザーが両方の公開鍵で[email protected]
であることがわかります。このファイルは、ファームウェアのインストール時に最後に変更され、他のファイルと比較されました。
中国の名前で、この公開キーの少なくとももう1つのレコードをオンラインで見ると、これはZTE開発者が使用するバックドアのようで、SSHを使用して任意のルーターに接続できるようになりました。
ちなみに、さらにテストすると、ルーターはインターネットから実際にアクセスできます(SSHおよびTelnetを使用)。
ここで何が起こっていると思いますか?
とにかくそれを削除しようとしましたが、ファイルシステムが読み取り専用のfsとしてマウントされているようです。どうすれば再マウントできますか?
Devs/support(ZTE)が接続するバックドアが存在する可能性があります[もちろん、これをやめたいと思っています...]。あなたのISPのせいであるインターネットにオープンであることについては。デバイス自体をロックダウンできるので、telnet、http、https、およびsshログインにISPのCPE管理VLANからのみアクセスできます。ただし、残念ながら、ISPがCPE(顧客宅内機器)を十分に強化しないことは一般的です。
住宅用ルーターのベンダーバックドアは新しいものではありません: https://w00tsec.blogspot.com/2015/11/arris-cable-modem-has-backdoor-in.html
特にZTEの場合、これは新しいことではありません。 https://github.com/stasinopoulos/ZTExploit/blob/master/ZTExploit_Source/ztexploit.py
アクセス権があるため、デバイスを自分で強化できます。しかし、これによりISPが更新/トラブルシューティングを行えなくなる可能性があります(ただし、おそらくISPはおそらく更新を行っていません)。