Trustwave：中國制GSM語音網(wǎng)關(guān)存在Root權(quán)限后門

　　DBL Technology（得伯樂科技有限公司）是一家位于深圳的通訊設(shè)備生產(chǎn)商，主要產(chǎn)品包括GSM語音網(wǎng)關(guān)，IP電話網(wǎng)關(guān)，企業(yè)級軟交換等，多用于電話公司及VoIP服務(wù)商。

　　具體來講，該系列網(wǎng)關(guān)在產(chǎn)品文檔里向用戶提供了兩個可用于Telnet登錄的帳號：“ctlcmd”與“limitsh”。這兩個帳號提供有限的權(quán)限，且可由用戶自行更改密碼。然而這次的問題出在第三個帳號：“dblamd”身上。據(jù)Trustwave分析，該帳號未被列入產(chǎn)品文檔，可能僅用于測試階段。“dbladm”具有root級別的權(quán)限，并應(yīng)用了“挑戰(zhàn)-響應(yīng)”（challenge-response）身份驗(yàn)證技術(shù)。該驗(yàn)證方式會在用戶申請登錄后發(fā)送一個字符串（即challenge信息），然后用戶根據(jù)自己的密鑰或算法加密challenge信息再返還給服務(wù)器進(jìn)行驗(yàn)證（即response）。

　　但Trustwave的安全研究團(tuán)隊(duì)表示，該機(jī)制較容易被破解利用。負(fù)責(zé)向用戶發(fā)送challenge的代碼就位于設(shè)備ROM中的“sbin/login”下，通過對這些代碼的逆向分析，安全人員發(fā)現(xiàn)只要有challenge的值，黑客就可以計(jì)算出對應(yīng)的MD5哈希值，做出response，完成登錄。而challenge完全可以通過一些自動腳本獲取。一旦完成以上步驟，黑客就會擁有對設(shè)備的完全控制，可以監(jiān)聽流量，或利用其發(fā)起DDoS一類的攻擊。

　　Trustwave在去年10月13日向廠商報(bào)告了此問題，隨后廠商在12月22日發(fā)布了固件更新版本。但是經(jīng)過查證，
更新后的設(shè)備依然存在同樣的問題，只不過機(jī)制稍微復(fù)雜了一些。Trustwave在報(bào)告中如此評論：

　　“似乎DBL Tek的工程師并沒有認(rèn)識到問題的關(guān)鍵在于該認(rèn)證機(jī)制上存在的缺陷，而不是它是否容易被逆向的問題。”

　　據(jù)稱，目前受到影響的網(wǎng)關(guān)版本為：GoIP 1，4，8，16和32（Trustwave開始只測試了8通道的GoIP GSM網(wǎng)關(guān)，但由于該系列其