web-dev-qa-db-ja.com

ZTEはルーターにバックドアを設置しましたか?どうすれば削除できますか?

ZTEルーターモデルZXHN H198Aを持っています。

最近、Telnetで(もちろん、デフォルトのユーザー名とパスワードを使用して)接続したときに、ファイルシステムを調べることにしました。次に、/etc/dropbearにDropbear SSHサーバーがインストールされていることに気付きました。さらに調べたところ、authorized_keysファイルが存在することがわかりました。

ファイルの内容は次のとおりです。

sSH-DSS AAAAB3NzaC1kc3MAAACBAJa07l9167yfS6MyvmU9KLFCcazA81w1046fsy6wDpuOPsxdhy3S57ScJI4PaJKUBe9n3JMnhoixFHgxvBC6aEDuxCv/5uBZUaJmLNTItVxtdf53tW + RF + T + JrDt8NbBSXK0CANLSa1TNW8QBqjGOkYpwjgLcWxqJAd0JMKkxe57AAAAFQCUjTtXIlXxcM5Dm0janESDSGxrBQAAAIAYz8yZgJJPUhQR6uVQDBWHtqI/92xnRV4zWx + RFf2qF3 + YVnbew9NIOCb8PzweeC2Gij3QytMFvJchkqKB1BDJiN9y/GxbgZb73DZnM6brlb6ZCb8m/xEmVqK6HX/PJlbwj7uHdzqaBERsvc6CJrZlQVfh0H5ymIDJbfyZeE4CfwAAAIA3aX33tPW0rxpXxX2LYSXHVGzh1UPYkjf5WWF6nWaxK4JwZdSxRorj + uRTMXrx0otPs2DzQx370KlUvfwXQdD + PEKsXlYSxx/KwZ4QzS3PYierbWbPOzVVxmSSaBEh2MFkZ + L5GMnkTL3foWDN0HDjtPvjNhwLHEkL6 + HslXM2Ug == [email protected]

sSH-RSA AAAAB3NzaC1yc2EAAAABIwAAAIEA3R0au/8rJR9Kr7WZkCzG8Dne7Hf5VpOt7UYUxtytbyUJlAq + FrUZBP1mAxYgdwSBKQbkTcnTodj6RuHQ777d1aCdODvcOI6ntqbHRAQ0LLpIAlg5C4R6JlNmCNA3XUl2oht/40d7xbdUsRIsFMnaARAYa8SSmB1irCstEG8g10k = [email protected]

よく見ると、ユーザーが両方の公開鍵で[email protected]であることがわかります。このファイルは、ファームウェアのインストール時に最後に変更され、他のファイルと比較されました。

中国の名前で、この公開キーの少なくとももう1つのレコードをオンラインで見ると、これはZTE開発者が使用するバックドアのようで、SSHを使用して任意のルーターに接続できるようになりました。

ちなみに、さらにテストすると、ルーターはインターネットから実際にアクセスできます(SSHおよびTelnetを使用)。

ここで何が起こっていると思いますか?

とにかくそれを削除しようとしましたが、ファイルシステムが読み取り専用のfsとしてマウントされているようです。どうすれば再マウントできますか?

2
Terrance

Devs/support(ZTE)が接続するバックドアが存在する可能性があります[もちろん、これをやめたいと思っています...]。あなたのISPのせいであるインターネットにオープンであることについては。デバイス自体をロックダウンできるので、telnet、http、https、およびsshログインにISPのCPE管理VLANからのみアクセスできます。ただし、残念ながら、ISPがCPE(顧客宅内機器)を十分に強化しないことは一般的です。

住宅用ルーターのベンダーバックドアは新しいものではありません: https://w00tsec.blogspot.com/2015/11/arris-cable-modem-has-backdoor-in.html

特にZTEの場合、これは新しいことではありません。 https://github.com/stasinopoulos/ZTExploit/blob/master/ZTExploit_Source/ztexploit.py

アクセス権があるため、デバイスを自分で強化できます。しかし、これによりISPが更新/トラブルシューティングを行えなくなる可能性があります(ただし、おそらくISPはおそらく更新を行っていません)。

1
DarkMatter