Auteur Sujet: GPON FTTH networks (in)security  (Lu 5303 fois)

0 Membres et 1 Invité sur ce sujet

Nico

  • Modérateur
  • *
  • Messages: 31 446
  • FTTH 1000/250 sur Paris 15ème (75)
    • @_GaLaK_
GPON FTTH networks (in)security
« Réponse #12 le: 05 novembre 2016 à 20:50:08 »
Sinon j'ai gardé le vieil ONT SFR lors de mon changement pour un mini-ONT il y a 4 ans et je me suis souvenu de 2 trucs :
- le tech rentre un SLID dans l'ONT (et maintenant c'est de l'auto-conf depuis la NB6)
- il ne marchait plus au bout de quelques jours

Comme quoi, il y a peut-être un peu plus de sécurité qu'on veut bien nous dire.

Je vais tâcher de le retrouver pour aller un peu plus loin et réaliser les tests qui n'ont pas été fait par l'auteur du papier original.

eruditus

  • Client Orange adsl
  • Modérateur
  • *
  • Messages: 8 993
  • Montfort-l'Amaury (78)
GPON FTTH networks (in)security
« Réponse #13 le: 05 novembre 2016 à 21:11:51 »

J'ai peut être loupé quelque chose, mais c'est quoi la conséquence de la faille de sécurité (en admettant qu'il y en ait une) ? Pouvoir surfer à l'œil ?

J'ai du mal, voir beaucoup de mal avec ce genre d'article/titre. C'est un peu comme si à l'époque du cable analogique, quelqu'un titrait "Découverte d'une importante faille de sécurité chez Numericable", il suffit de retirer le filtre pour avoir accès au réseau...

Nico

  • Modérateur
  • *
  • Messages: 31 446
  • FTTH 1000/250 sur Paris 15ème (75)
    • @_GaLaK_
GPON FTTH networks (in)security
« Réponse #14 le: 05 novembre 2016 à 21:17:55 »
Tu veux pas prendre tout ce qui est marqué comme argent comptant et en rajouter un peu pour faire des vues sur ton blog plutôt qu'être critique ?

thenico

  • Expert.
  • Client Orange Fibre
  • *
  • Messages: 776
  • FTTH >500 Mb/s et FTTLA 100 Mb/s (13)
GPON FTTH networks (in)security
« Réponse #15 le: 06 novembre 2016 à 02:40:35 »
J'ai peut être loupé quelque chose, mais c'est quoi la conséquence de la faille de sécurité (en admettant qu'il y en ait une) ? Pouvoir surfer à l'œil ?
Et c'est en théorie.

Orange demande un login donc  en PPP c'est mort.
Reste la nouvelle archi en DHCP; je mets 3 centimes que l'OLT ajoute des informations sur l'arbre GPON d'origine et que le serveur DHCP valide par rapport au login (obligatoire)

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 730
  • île-de-France
GPON FTTH networks (in)security
« Réponse #16 le: 06 novembre 2016 à 08:43:10 »
J'ai peut être loupé quelque chose, mais c'est quoi la conséquence de la faille de sécurité (en admettant qu'il y en ait une) ?

En fait, ce papier n'expose effectivement rien de nouveau, et environ rien qui ne soit pas vraisemblablement connu par ses concepteurs − oui 90 % des équipements dans la nature ont une interface d'admin web (et non une "backdoor") et une CLI (je reconnais bien mon post et ceux d'1 ou 2 personnes qui ont été pompés d'ici), oui tu peux faire des choses en te branchant en amont au même titre qu'en DOCSIS et en DSL, oui survoler un ou deux risques supposés pour agrèmenter sa recherche est simple. Ah si, une command injection pour l'accès à une interface à laquelle tu as déjà le contrôle, moi aussi j'ai trouvé des self-XSS sur des modems. (Et la partie 7.8, je n'ai rien lu de plus magique au moins depuis que j'ai vu un post random sur UniversFreebox) Je comprends que le CERT d'Orange à la fin soit un peu gêné de recevoir ce genre de requête.

Il expose juste des choses connues sous un angle modérèment tapageur ("GPON FTTH networks (in)security") que les traducteurs-régurgiteurs vont exposer sous un angle 2x plus clickbait ("D’inquiétantes failles de sécurité dans les accès fibre optique FTTH en France ?").

petrus

  • Expert AS206155
  • Expert
  • *
  • Messages: 764
GPON FTTH networks (in)security
« Réponse #17 le: 06 novembre 2016 à 10:14:25 »
Pour avoir lu et relu l'article de Pierre Kim, y'a de grosses approximations sur la partie que je connais, Orange.

Déjà, le slid de l'ont doit être l'un de ceux provisionnés sur l'arbre, donc le bruteforce, on repassera...

Ensuite, que ça soit en ppp ou en dhcp, l'olt (et le dslam en xdsl) insère des champs dans les padi/padr ou discover/request qui permettent d'identifier le raccordement physique du client : dslam/olt, carte, port (et n° d'ont pour le ftth). Cette information, couplée avec le fti du ppp ou du dhcp permet d'éviter 90-99% des problèmes (pas forcèment de la malveillance - plutôt genre inversion de ligne).

La partie retro-ingénierie des binaires est intéressante, de ce coté là ça n'a peut-être pas beaucoup évolué depuis le temps, après je ne vois pas, contrairement à un routeur troué, quel est le risque réel. L'ont n'est pas joignable depuis le lan en temps normal, et pas joignable depuis le wan non plus.

Bref, y'a eu du boulot, intéressant, mais avec quelques approximations amha.


Ah oui, et l'auth implicite sur orange.fr, c'est fini également.

Thornhill

  • Client SFR fibre FTTH
  • *
  • Messages: 650
  • Saint-Médard-en-Jalles (33)
GPON FTTH networks (in)security
« Réponse #18 le: 06 novembre 2016 à 14:46:08 »
En fait, ce papier n'expose effectivement rien de nouveau, et environ rien qui ne soit pas vraisemblablement connu par ses concepteurs − oui 90 % des équipements dans la nature ont une interface d'admin web (et non une "backdoor") et une CLI (je reconnais bien mon post et ceux d'1 ou 2 personnes qui ont été pompés d'ici), oui tu peux faire des choses en te branchant en amont au même titre qu'en DOCSIS et en DSL, oui survoler un ou deux risques supposés pour agrèmenter sa recherche est simple. Ah si, une command injection pour l'accès à une interface à laquelle tu as déjà le contrôle, moi aussi j'ai trouvé des self-XSS sur des modems.

Les interfaces d'admin sont censées être bridées, il passe quand même root via une faille CGI.
Pour en faire quoi c'est la question.

Nh3xus

  • Réseau Deux Sarres (57)
  • Client K-Net
  • *
  • Messages: 2 089
  • Sarrebourg (57)
GPON FTTH networks (in)security
« Réponse #19 le: 06 novembre 2016 à 18:21:43 »
Ya des restes de Shellshock sur ce type de matos ?  :o

corrector

  • Invité
GPON FTTH networks (in)security
« Réponse #20 le: 06 novembre 2016 à 22:12:25 »
Voici un post sur le blog de Pierre Kim qui semble être passé inaperçu ici.
En résumé, les ONT ont le même niveau de securité que les routeurs WiFi au début des années 2000 et SFR semble ne pas vérifier le SLID ce qui rappelle le DOCSIS 1 et les abus avec des modems-cables trafiqué.
On parle également de bruteforce de SLID et d'un mode SNIFFER sur le GPON.

Citer
utiliser la force brute pour trouver un SLID valide, puisque c'est une chaîne alphanumérique de seulement 8 ou 10 caractères

Alphanumérique = chiffres et lettres minuscules et majuscules

(26*2+10)**10 > 8E17

Qui va faire de l'ordre du milliard de milliards d'essais pour obtenir un SLID?

Combien de temps ça peut mettre? Comment éviter de saturer le serveur d'authentification?

Nico

  • Modérateur
  • *
  • Messages: 31 446
  • FTTH 1000/250 sur Paris 15ème (75)
    • @_GaLaK_
GPON FTTH networks (in)security
« Réponse #21 le: 06 novembre 2016 à 22:17:16 »
Comment pas se faire blacklister par l'OLT ?

corrector

  • Invité
GPON FTTH networks (in)security
« Réponse #22 le: 06 novembre 2016 à 22:27:32 »
Citation de: Pierre Col pour Infra | Net
Et si un individu malintentionné se branche à la place d'un abonné, par exemple quand il est absent de chez lui
Il y a vraiment besoin d'être sur un port précis ? L'OLT n'èmet pas à tout le monde en même temps ?
Oui, c'est le principe même d'un média partagé, comme le câble, le GSM, le Wifi, le Wimax, le satellite... Il n'y a pas de "position" ou de "brassage".

Tu tentes d'accéder au serveur en donnant des identifiants qui sont acceptables ou pas. Tu peux essayer de recopier des identifiants de connexions que tu récupères :

- en espionnant les échanges lors de l'identification
- en piratant un boitier pour accéder à sa ROM

Mais le fait que l'abonné soit déjà connecté pourrait gêner ta tentative d'utiliser son identifiant. Seulement dans ce cas, tu pourrais avoir envie de couper sa connexion.

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 238
  • Lyon & Paris
    • MilkyWan
GPON FTTH networks (in)security
« Réponse #23 le: 06 novembre 2016 à 22:37:36 »
Plus ou moins quand même, tu n'as qu'entre 1 et 128 chances, en fonction du remplissage de l'arbre. (Et il y'a bien des positions sur un OLT)

 

Mobile View