超过19,000个Orange Livebox ADSL调制解调器正在泄露其WiFi凭据

2018-12-26 09:37:50 0 2828

据报道,有安全团队在蜜罐中捕获到攻击者对Orange Livebox调制解调器的扫描,后发现了Orange Livebox调制解调器有允许远程未经身份验证的用户获取设备的SSID、WiFi密码的漏洞



在2018年12月21日(星期五),我们的蜜罐观察到一个有趣的扫描,其中包含对get_getnetworkconf.cgi的GET请求。经过进一步调查,我们发现此流量针对Orange Livebox ADSL调制解调器。这些调制解调器存在一个漏洞,允许远程未经身份验证的用户获取设备的SSID和WiFi密码。



为了评估易受此漏洞影响的设备数量,我们从Shodan获得了Orange Livebox调制解调器数量列表。(Shodan搜索语法为:html:"www.arcadyan.com/802")

在发现的30,063个IPv4主机中,我们的扫描结果显示:


  • 19,490以明文泄露其WiFi凭证(SSID /密码)
  • 2,018没有泄露任何信息,但仍然暴露在互联网上
  • 8,391没有回应我们的扫描


许多WiFi密码泄露的设备使用相同的密码来管理设备(密码重用),或未配置任何自定义密码 ,仍然应用出厂默认的“admin/admin”凭据。



这允许任何远程用户轻松访问设备并恶意修改设备配置,或更改固件。此外,他们还可以获取与调制解调器绑定的电话号码,并利用https://github.com/zadewg/LIVEBOX-0DAY的其他严重漏洞。

不出所料,绝大多数受影响的设备都是在Orange Espana网络(AS12479)上。



我们的蜜罐检测到的初始扫描的来源IP是81.38.86.204,这是与Telefonica Spain客户相关的IP地址。虽然我们不能猜测这些扫描背后的动机是什么,但有趣的是攻击源的物理距离有漏洞的Livebox ADSL调制解调器设备所在地很近。如果攻击者在设备周围,则可以允许它们连接到WiFi网络(SSID)。



由于此漏洞的敏感性,受影响的Orange Livebox ADSL调制解调器的IP地址不会公开发布,但可供执法部门和应急响应团队免费查看。我们直接与Orange Espana,Orange-CERT和CCN-CERT分享了我们的研究结果,以便进一步调查和修复漏洞。

关于作者

D_D952761篇文章465篇回复

评论0次

要评论?请先  登录  或  注册