日前,01net回归渗透一定数量的 Orange LiveBox。黑客找到了一种方法来访问盒子管理并修改 DNS 地址。
我们将向您透露的新案例影响了布伊格电信的某些盒子。 7 月底发现该问题的是瓦朗谢讷莫伯日大学 CDAISI 道德黑客许可证的毕业生。在对 Bbox 进行测试期间,Nicolas Deffrenne 意识到插入互联网盒端口的 USB 密钥可以不受任何限制地访问:他可以通过浏览器读取其内容,无需密码和任何 IP。
担心 Bouygues 客户的机密性,因为知道许多用户使用 Bbox 作为存储硬盘和家庭连接设备(电视、电脑、平板电脑、智能手机)之间的路由器。还有什么比在整个房子里分享照片、音乐和其他文档更舒服的呢?
无需密码即可访问整个磁盘!
不过,通过查看这个连接问题,01net 发现问题并不是孤立的:所有 Fast3504 Bbox 都容易出错。黑客、好奇的人或普通邻居只需输入 IP 地址即可连接到这些盒子。然后,攻击者只需在 IP 末尾添加代码:8888 - Bbox 的访问端口号 - 即可读取并复制连接到调制解调器的存储介质中找到的所有信息。那时不需要请求私人数据的密码。
布伊格的错误,以及过于繁琐的用户的错误。说明一下:Bbox的防火墙功能默认是开启的,正常情况下。除了数十名客户已手动解锁此安全性之外。此时外部 USB 存储设备变得可搜索。黑客只需使用某些搜索引擎来引用 Bbox Fast 3504 所有者,并在 USB 密钥和其他外部硬盘驱动器上使用它们。
布伊格的回应
布伊格很快就发出了警报,他也很快就负责了警报。“最近几天,我们发现了受渗透率影响的客户,”布伊格电信安全团队强调,“为了限制个人数据访问的风险,我们对所有目标 Bbox 的防火墙功能进行了远程重新激活”。必须在几天内与可能受此风险影响的客户进行沟通,以提请他们注意防火墙功能在保护其专用网络和连接到 Bbox 的设备方面的重要性。
最终的修正将在这些 Bbox 的下一次软件更新中进行。 Bouygues Telecom 还表示:“与此同时,我们将继续监控 Bbox 防火墙的停用情况。”
另一个例子表明,在 IT 领域,没有什么是绝对正确的……第一个错误仍然是用户的行为。
