นักวิจัยด้านความปลอดภัยพบช่องโหว่ 5 จุดบนเฟิร์มแวร์ที่กำลังใช้งานอยู่บนโมเด็ม Arris ซึ่งถูกแจกโดย AT&T โดย 3 ใน 5 ช่องโหว่ดังกล่าวเป็นบัญชีการเข้าใช้งานผ่านช่องทางลับซึ่งฝังอยู่ในอุปกรณ์ ผู้โจมตีสามารถใช้บัญชีใดก็ได้ก็ไดในสามบัญชีนี้เพื่อเข้าควบคุมเครื่องของเหยื่อ รายละเอียดช่องโหว่ทั้ง 5 มีดังนี้
Backdoor 1: โดยปกติ modem จะเปิดใช้งาน SSH ไว้เป็นค่า default และสามารถเข้าถึงได้จากภายนอก นั่นหมายความว่าผู้โจมตีสามารถใช้ ชื่อผู้ใช้งาน "remotessh" และรหัสผ่าน "5SaP9I26" ซึ่งเป็นค่า default ในการเข้ามา authen เครื่องด้วยสิทธิ์ root นั่นหมายความว่าสามารถจะทำอะไรกับเครื่องนั้นก็ได้
Backdoor 2: Arris จะมี built-in web server ที่ทำงานอยู่ใน internal admin panel ซึ่งผู้โจมตีสามารถผ่านการระบุตัวตนผ่าน port 49955 ด้วยชื่อ “tech” และรหัสผ่านแบบเปล่า
ช่องโหว่ Command injection: เกี่ยวข้องกับ built-in web server ตัวเดิม ซึ่งมีช่องโหว่ให้ผู้โจมตีทำการสั่ง run shell command บน web server ได้
Backdoor 3: ผู้โจมตีสามารถใช้ชื่อผู้ใช้งาน "bdctest" และรหัสผ่าน "bdctest" เพื่อเข้าสู่ระบบผ่าน port 61001 โดยจะต้องรู้ serial number ของตัวเครื่องเพื่อเข้าสู่ระบบทางช่องทางนี้ด้วย
Firewall bypass: ผู้โจมตีสามารถสร้าง HTTP request ที่ถูกปรับแต่งขึ้นมาโดยส่งผ่าน port 49152 ทำให้ผู้โจมตีสามารถ bypass internal firewall ของตัวอุปกรณ์และเปิดการเชื่อมต่อ TCP proxy กับตัวเครื่องซึ่งจะทำให้ผู้โจมตีใช้งานช่องโหว่ที่เหลืออีก 4 จุดได้ ถึงแม้ว่าผู้ใช้งานจะทำการเปิด on-device firewall แล้วก็ตาม
ในขณะนี้ยังตรวจไม่พบการโจมตีผ่านทางช่องโหว่ทั้ง 5 ช่องโหว่ดังกล่าว แต่ก็ควรเพิ่มการระมัดระวังหากมีการใช้งานอุปกรณ์เหล่านี้อยู่
ที่มา : BLEEPINCOMPUTER