В 600 тыс. кабельных модемов Arris обнаружен бэкдор

Независимый исследователь безопасности из Бразилии Бернардо Родригес (Bernardo Rodrigues) обнаружил бэкдор в кабельных модемах Arris. Компания уже проинформирована о проблеме и сейчас работает над устранением уязвимости. По словам эксперта, устройства легко обнаружить при помощи поисковой системы Shodan, таким образом ему удалось отследить более 600 тыс. уязвимых устройств.

Отмечается, что модемы Arris класса SOHO (предназначенные для применения в небольших и домашних офисах) содержат незадокументированную библиотеку libarris_password.so, функционирующую в качестве бэкдора, который позволяет получить удаленный доступ к устройству привилегированным пользователям с кастомными паролями.

Впервые о проблеме в модемах ARRIS стало известно в 2009 году. Тогда был обнаружен бэкдор, который позволял удаленно получить доступ к девайсам при помощи сгенерированного пароля администратора.

В этом случае Родригес обнаружил похожий бэкдор, затрагивающий скрытую административную оболочку, реализованную в модемах Arris. Так называемый "ежедневный пароль ARRIS" (ARRIS password of the day) представлет собой удаленный бэкдор, который для генерации пароля использует канал, зашифрованный с помощью алгоритма DES. Как выяснил эксперт, пароль основан на последних пяти цифрах серийного номера модема.

По просьбе производителя исследователь не раскрыл всех подробностей об уязвимости, но опубликовал PoC-видео с примером атаки. В настоящее время не известно о случаях эксплуатации данной бреши.