日前,01net回歸滲透一定數量的 Orange LiveBox。駭客找到了一種方法來存取盒子管理並修改 DNS 位址。
我們將向您透露的新案例影響了布伊格電信的某些盒子。 7 月底發現此問題的是瓦朗謝訥莫伯日大學 CDAISI 道德駭客許可證的畢業生。在對 Bbox 進行測試期間,Nicolas Deffrenne 意識到插入網際網路盒連接埠的 USB 金鑰可以不受任何限制地存取:他可以透過瀏覽器讀取其內容,無需密碼和任何 IP。
擔心 Bouygues 客戶的機密性,因為知道許多用戶使用 Bbox 作為儲存硬碟和家庭連接裝置(電視、電腦、平板電腦、智慧型手機)之間的路由器。還有什麼比在整個房子裡分享照片、音樂和其他文件更舒服的呢?
無需密碼即可存取整個磁碟!
不過,透過查看這個連線問題,01net 發現問題並不是孤立的:所有 Fast3504 Bbox 都容易出錯。駭客、好奇的人或普通鄰居只需輸入 IP 位址即可連接到這些盒子。然後,攻擊者只需在 IP 末尾添加代碼:8888(Bbox 的存取連接埠號碼)即可讀取並複製連接到數據機的儲存媒體中找到的所有資訊。那時不需要請求私人資料的密碼。
布伊格的錯誤,以及過於繁瑣的使用者的錯誤。說明一下:Bbox的防火牆功能預設是開啟的,正常情況下。除了數十名客戶已手動解鎖此安全性。此時外部 USB 儲存裝置變得可搜尋。駭客只需使用某些搜尋引擎來引用 Bbox Fast 3504 擁有者,並在 USB 金鑰和其他外部硬碟上使用它們。
布伊格的回應
布伊格很快就發出了警報,他也很快就負責了警報。“最近幾天,我們發現了受滲透率影響的客戶,”布伊格電信安全團隊強調,“為了限制個人資料存取的風險,我們對所有目標 Bbox 的防火牆功能進行了遠端重新啟動”。必須在幾天內與可能受此風險影響的客戶進行溝通,以提請他們注意防火牆功能在保護其專用網路和連接到 Bbox 的設備方面的重要性。
最終的修正將在這些 Bbox 的下一次軟體更新中進行。 Bouygues Telecom 也表示:“與此同時,我們將繼續監控 Bbox 防火牆的停用情況。”
另一個例子表明,在 IT 領域,沒有什麼是絕對正確的…第一個錯誤仍然是使用者的行為。
