lcatel ADSL數據機發現安全漏洞　05/30

--------------------------------------------------------------------------------

電腦安全專家發現Alcatel SA製造的ADSL數據機有安全漏洞，此漏洞使入侵者得以逕行將數據機關機，監看網路資料，或做為攻擊其他網路節點的基地。

加州大學聖地牙哥高速電腦中心（SDSC；San Diego Supercomputer Center）發佈一道電腦系統安全警訊，指出漏洞之機型為Alcatel的Speed Touch家用ADSL數據機及Alcatel 1000 ADSL Net work Termination Device兩款設備。同一時間，卡內基美農大學（Carnegie Mellon University）CERT（電腦緊急事件處理小組）也發佈一道類似警訊。

受影響的兩款數據機行銷全球，在美國及其他國家更被廣泛使用。

此兩款數據機提供遠端登入功能以進行如更新韌體（firmware）等系統維護作業。然而，因機器系統本身僅內建薄弱認證及存取管制，該功能易受未經授權的不肖人士破解並進行不當使用或活動。

SDSC表示，當駭客侵入後即可於數據機中植入不當軟體，例如：可用以監聽區網資料傳輸的網路偷窺（sniffer）程式。入侵者亦可利用此數據機對其他網路設備或電腦進行分散式阻絕服務（DdoS；Distributed Denial of Service）攻擊。

不過，Alcatel並不看重此兩個安全警訊。該公司指出，SDSC必須先破解與Alcatel無關的其他安全漏洞才能入侵該公司數據機。
在警訊中描述的四種入侵模式的其中三種模式均須先欺騙Alcatel數據機，讓其以為連線訊號是發自同一區網節點。警訊中描述做法是利用區網中某系統的UDP（User Datagram Protocol） echo服務進行訊號轉運，而在管理良好系統上UDP echo本該予以關閉。

Alcatel ADSL數據機推廣主任karsten Verhaegen表示，此為通盤性網路安全議題。Alcatel均建議使用者安裝防火牆軟體避免此類入侵企圖。

Verhaegen更進一步地挑剔警訊描述的第四種模式。在此模式下，入侵者須真正連上同一段DSL線路才能成功入侵數據機。

他指出，Speed Touch Home及其前身ADSL Network Termination Device，並非針對在區網使用而設計。其Speed Touch Pro內建防火牆，更適合於專業環境中使用。

然而，Alcatel另一發言人則表示，該公司工程師目前正與SDSC及CERT聯繫，以瞭解問題詳情並討論確有問題的解決方法。
Infopro.com 2001/5/30
Source, ComputerWorld