The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимости в маршрутизаторах GPON, которые уже используются для создания ботнета

04.05.2018 22:51

В маршрутизаторах GPON (Gigabit-capable Passive Optical Networks), выпускаемых различными производителями, выявлены критические уязвимости, позволяющие получить доступ к операциям в web-интерфейсе без прохождения аутентификации и запустить любые команды на устройстве.

Первая уязвимость (CVE-2018-10561) даёт возможность обойти механизм аутентификации - для выполнения любых операции в web-интерфейсе достаточно добавить строку "?images/" к URL страницы (например, "/diag.html?images/" или "/GponForm/diag_FORM?images/"). Если запросить URL "/images/" то устройство перезагружается. Уязвимость присутствует в типовом HTTP-сервере, применяемом в различных моделях домашних GPON-маршрутизаторов.

Вторая уязвимость (CVE-2018-10562) позволяет помимо штатных операций в web-интерфейсе выполнить любые команды в контексте операционной системы устройства. Уязвимость вызвана отсутствием должных проверок при выполнении операций ping и traceroute в форме /diag.html. Данные операции выполняются через запуск одноимённых команд с передачей указанных пользователем аргументов. Так как входные данные не проверяются должным образом, имеется возможность через передачу строки вида "`id`;192.168.1.1" в поле IP-адреса запустить любую команду на устройстве. Интересно, что об этой уязвимости упоминалось в комментариях год назад. В сети также можно найти публичные эксплоиты для проведения CSRF-атак, датированные 2015 годом.

В интернете уже зафиксированы попытки организации автоматизированных атак для захвата контроля за устройствами и построения из них ботнета. По предварительной оценке для атаки доступны более миллиона проблемных устройств, принимающих соединения к web-интерфейсу через реальный IP.

Проблемы не специфичны для конкретного производителя устройств и проявляются на широком спектре домашних маршрутизаторов для пассивных оптических сетей GPON. Прогнозы относительно выпуска обновлений прошивки с устранением уязвимости пока неутешительны - многие устанавливаемые провайдерами GPON-устройства выпускались по OEM-контрактам под собственными брендами и уже не поддерживаются.



  1. Главная ссылка к новости (https://www.vpnmentor.com/blog...)
  2. OpenNews: В маршрутизаторах Netgear выявлена уязвимость, позволяющая узнать пароль входа
  3. OpenNews: Волна атак на клиентские маршрутизаторы
  4. OpenNews: Легко эксплуатируемая критическая уязвимость в маршрутизаторах Netgear
  5. OpenNews: Критическая уязвимость в коммутаторах Cisco
  6. OpenNews: Новый открытый маршрутизатор Turris Omnia
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: gpon, router
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (53) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аононим (?), 22:57, 04/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да-да, "уязвимость". То-то они эти GPON всем навязывают с такими "уязвимостями".
     
     
  • 2.22, Аноним (-), 10:57, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не хотят платить за электричество и поддерживать аналоговый телефон, что поделать, плати больше с майнером.
     
     
  • 3.39, пох (?), 17:51, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    там не в электричестве дело (хотя, конечно, приятно, что не они твой телефон кормят, а ты из своей розетки, но это, право, копейки. Как и блестящая идея выковырять из колодцев все мегатонны меди и продать на вторсырье - "фууу, она, оказывается, в изоляции? Да ну ее на"). там был настолько прекрасный кусок "ничьей" собственности, что его просто невозможно было не украсть.

     
     
  • 4.40, Аноним (-), 18:32, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Преимуществ для провайдеров от GPON огромное множество:
    1. Не нужно оборудование на чердаке и аренда места там же.
    2. За электричество платишь ты и другие пользователи, а не они как было со свитчами ранее.
    3. Не нужен аналоговый телефон и кабельное телевидение с дорогими медными кабелями.
    4. Абонент не сможет заменить конечное оборудование на своё, доступна слежка и фильтрация трафика для каждого абонента отдельно, можно разгрузить своё оборудование с чёрными списками и увеличить скорость.
     
     
  • 5.43, Аноним (-), 07:43, 06/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В случае МГТСа все гораздо круче Не нужны здания под АТС, и их можно продать и... текст свёрнут, показать
     
     
  • 6.48, пох (?), 14:38, 06/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > В случае МГТСа все гораздо круче. "Не нужны здания под АТС, и их можно продать или сдать".

    ага-ага. На фоне этого распрекрасного бизнеса на чердаки, медь, прочие копейки был забит огромный болт. Дофига не-жилой площади, и она - ничья!

    > За кабельное телевидение и его кабели платил не МГТС.

    да, но они - платили. Довольно дорого. Поэтому проиграли рынок. (не говоря уже о том, что опта разгоняется до 300 мегабит в сторону юзверя в легкую, а антенный кабель уже на ста надо обжимать, ну надо же, обжимкой, а не пассатижами, кто бы мог подумать, а для более высоких скоростей цены на оборудование по обоим концам лезут вверх совсем неприлично)

    > А ты думал что тебе за считанные баксы китайцы суперкомпьютер чтоли спаяют?

    стесняюсь спросить, ты розничные цены на тот х...вей видел (про шведов помолчим, не ту компанию на х назвали)? Баксов там за такую дрянь как-то многовато получается, я ковырял-ковырял - золота внутри чойта не нашел. А если мы хотим чтоб у нас телефон (который вообще-то средство экстренной связи) не отваливался если что вместе с электричеством - батарея к тому ху... стоила за стольник (это еще у меня было откуда их взять, хотя бы и за деньги, а так - попробуй достань).

    в общем, за эти деньги один раз собрать апач с модпихоном узкоглазый брат вообще-то вполне мог бы. Но ему не надо, и так купите, куда вы денетесь с подводной-то лодки :-(

     
     
  • 7.55, Аноним (-), 15:19, 08/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Жирные как троль опеннета надписи АРЕНДА на зданиях АТС - таки намекают Они про... текст свёрнут, показать
     
  • 4.42, Аноним (-), 07:33, 06/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > там не в электричестве дело (хотя, конечно, приятно, что не они твой
    > телефон кормят, а ты из своей розетки, но это, право, копейки.

    МГТС здания АТСов помнится хотели перепрофилировать или продать. Судя по некоторым из виденных зданий экс-АТСов, эта инициатива как минимум частично реализована.

    Сколько стоит целое здание или аренда в нем площадей, да еще в столице - догадайся! На этом фоне можно, так и быть, дешевых коробочек раздать псевдо-бесплатно, если это поможет выкинуть телефонистский хлам из здания. А коробочки отобьются наверное в первый же месяц аренды офисных помещений, или что они там кому сдают.

     

  • 1.2, Sot (?), 23:01, 04/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Проверил на Eltex. Не работает.
     
     
  • 2.4, Аноним (-), 23:16, 04/05/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Проверил на Ericsson  от Ростелекома. Работает.
     
     
  • 3.6, FSA (??), 23:29, 04/05/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    2 года назад работал в Ростелекоме. Уже тогда Erricsson положил болт на Ростелеком и отказал в поддержке. Уже тогда были проблемы с IP-телефонами и их решали заменой ONU на совместимые устройства от другого производителя.
    Самым безопасным вариантом использования старых ONU без функции маршрутизатора (T063G). Просто ставите за ним свой маршрутизатор и всё отлично работает. Кстати, ONU Erricsson с маршрутизатором (T073G) вообще хреново работали. Периодически подвисали и часто отрубался WiFi, который можно было восстановить только программным сбросом и повторной настройкой.
     
     
  • 4.53, В (?), 09:37, 07/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А реально как-то отключить машрутизатор в моделях, где он формально есть? В провайдерском оборудовании, как жизнь показывает, режим моста - самый надежный.
     
  • 2.15, работник_элтекса (?), 07:16, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А на какой модели проверяли? NTU-1402?
     
     
  • 3.20, Sot (?), 10:51, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    NTP-RG-1402GC-W:rev.B
     
     
  • 4.52, eltex_worker (?), 05:42, 07/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну на нём вообще OpenWRT, так что я не особо удивлён. Жаль, что мы его больше не поддерживаем и впариваем всем NTU RG-1402-W, который то ещё дно в плане wi-fi и веб-интерфейса.

    Правда, наши энтерпрайзные ТД такой же днищный интерфейс имеют.

     
  • 3.21, Sot (?), 10:54, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А на какой модели проверяли? NTU-1402?

    На NTP-2 тоже все хорошо.

     
  • 2.17, Catwoolfii (ok), 08:02, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Проверил Huawei HG8120H от Ростелекома - данные уязвимости не работают
     

  • 1.3, Michael Shigorin (ok), 23:12, 04/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    "быстрей-быстрей!", ага.
     
  • 1.5, Аноним (-), 23:19, 04/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Переводим gpon в режим бриджа, как старый ADSL роутер и забываем про все уязвимости на сетевом уровне и выше.
     
     
  • 2.9, пох (?), 00:36, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    /me уныло глядит на коробку, у которой в режиме бриджа остается только два (или может три?) доступных извне ip адреса. Так-то их обычно пять или шесть...

    (не gpon, но ничего не мешает сделать такой же. Впрочем, уверен что уже и сделали, как еще вам впихивать triple pay?)

     
     
  • 3.23, Аноним (-), 11:20, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > /me уныло глядит на коробку, у которой в режиме бриджа остается только
    > два (или может три?) доступных извне ip адреса. Так-то их обычно
    > пять или шесть...

    Пять или шесть айпишником... ммм... белых? Ты б их еще сказал, чтоли? :)

     
     
  • 4.35, пох (?), 16:50, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Пять или шесть айпишником... ммм... белых?

    были б белые, я б знал, сколько ;-) Для зомбонета, кстати, белые необязательны, поломать можно и через кросскриптинг, пока юзер пырится в халявную порнуху. Хотя технически-то ему все равно. То есть какая-нибудь древняя дочка ростелека (когда адреса еще не экономили) вполне может и белые выдавать. У него есть (и в бридже тоже есть) сеть управления (от меня не видна, это для провайдерских инженегров) - раз. У него есть отдельный блок для iptv, в отдельном невидимом мне влане - два. У моего нет, но есть точно такая ж коробка с fxs'ами - там еще один (а может и у моего только самих дыр нет, а "аппарат-то есть"). Гуглите "triple pay services", как раз и обожаемые gpon-провайдерами. Ну и еще пачка смотрит в мою сторону, если не бридж.

    > Ты б их еще сказал, чтоли?

    это ж не ethernet, обратный канал г-но, толку с него, такого, пока он один...

     
  • 2.24, dgweg (?), 11:38, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Некоторые модели (ZTE) не переводятся в бридж, такая вот там убогая (огороженая) прошивка.
     

  • 1.7, th3m3 (ok), 00:04, 05/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    У меня не сработало.
     
     
  • 2.16, Аноним (-), 07:53, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Сочувствовать не будем.
    Чёрствые люди.
     

  • 1.8, Аноним (-), 00:06, 05/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот еще по теме https://pierrekim.github.io/blog/2016-11-01-gpon-ftth-networks-insecurity.html
     
  • 1.10, Аноним (-), 01:39, 05/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да-да, только так и спасаемся от китайского г.

    view @ RV6688> traceroute ; /bin/sh
    BusyBox v1.15.3 () built-in shell (ash)
    Enter 'help' for a list of built-in commands.
    ~ #

     
     
  • 2.11, Аноним (-), 02:17, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Удивительно, что китайское ПО еще умеет в передачу пакетов по сети без ошибки CRC checksum bits
     
     
  • 3.25, Аноним (-), 11:43, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Удивительно, что китайское ПО еще умеет в передачу пакетов по сети без
    > ошибки CRC checksum bits

    Linux таки в основном не китайцы писали. И IP блоки железяк типа эзернета и свича скорее всего лицензированы у кого-то менее кривого.

    А вот потом... потом вы получаете истинно китайскую сборку системы. С кривым тухлым софтом, где про безопасность не думали от слова вообще.

     
     
  • 4.36, пох (?), 16:56, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Linux таки в основном не китайцы писали. И IP блоки железяк типа
    > эзернета и свича скорее всего лицензированы у кого-то менее кривого.

    и что, казалось бы, мешало веб-сервер тоже у кого-то менее кривого? (я вообще с трудом понимаю, что это у них такое - скорее всего модный-стильный веб-аппликэйшн, без выделеннного сервера вообще, поэтому он и пермишны проверяет внутри пихоновского кода - кто-то тут совсем недавно рассказывал, что вот так и надо, а .htaccess им ненужно)

    > А вот потом... потом вы получаете истинно китайскую сборку системы. С кривым
    > тухлым софтом, где про безопасность не думали от слова вообще.

    а может и думали. Решили что за ту цену, за которую договорились с лаоваем, дорого.
    Беда китайского бизнеса - всегда можно выклянчить скидку еще на $1. И тебе что-нибудь "сэкономят".

    (а вот в обратную сторону не работает совсем. Только долгой руганью и сменой нескольких поставщиков иногда удается заставить откатить грошовую экономию. Деньги не помогают.)


     
     
  • 5.46, Аноним (-), 08:20, 06/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Жаба нанять нормальных програмистов и желание скорей выкинуть на рынок хоть что-... текст свёрнут, показать
     
     
  • 6.50, пох (?), 18:07, 06/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    было бы cgi - было бы очень, очень непросто умудриться сделать так, что сам скрипт требует авторизацию, а тот же скрипт но с параметрами - нет.

    То есть как раз сделали бы все максимально дубово и просто - все бы работало.

    А тут явно "приложение" (а что вы думаете, в китае до сих пор щи лаптем хлебают? они тоже любят все модное-современное), которое отдельно парсит url (который для него просто символьная строка), отдельно думает "а не спросить ли пароль".

    php не умеет в веб без сервера, значит, остаются пихон, руби и, вполне возможно, голый си с какой-нибудь на помойке найденой http-либой. Но я ставлю на пихон ;-)

     
     
  • 7.56, Аноним (-), 18:02, 08/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Авторизацию клеят на сопли и скотч в меру своей дурости Это даже не HTTP BASIC ... текст свёрнут, показать
     

  • 1.12, Дуплик (ok), 03:54, 05/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    И где список подверженных уязвимости устройств?
     
  • 1.13, nonamos (?), 06:51, 05/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Еще в 13м или 14м году мне это авно поставил ростелеком, называлось eci b-focus или как-то так. По первому же запросу в поисковике вываливались эти уязвимости. Все перечисленные в этой статье работали. Режима моста у него нету) т.е. соединение поднять можно только на нем.
    Такие дела, котята. Жизнь - боль.
     
  • 1.19, Аноним (-), 10:44, 05/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему нет альтернативных прошивок для подобных устройств?
     
     
  • 2.27, Аноним (-), 12:24, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тому что нет спек на оптические модули, нет драйверов. А вместо процессоров там броадкомы и риалтеки.

    Еще оптический модуль имеет свою прошивку.

    Гпон от хуавей использует свои закрытые "технологии". В интернете не найдено случаев подключения gpon через свой SFP.
    Но на форуме микротика советуют расковырять их sfp модуль и что-то там в HEXом поправить подпаявшись к Spi флешке модуля.
    Такое себе удовольствие, легче переключить в bridge и не беспокоится.

     
     
  • 3.34, gpon (?), 14:02, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вот тут пишут http://forum.ru-board.com/topic.cgi?forum=8&topic=80480&start=140 что Dlink DPN-100 удалось запустить
     
     
  • 4.38, Аноним (-), 17:40, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Там точно жпон от хуавея? Как минимум нужно серийник модуля изменить или заставить провайдера прописать серийник у себя.
     
  • 3.45, Аноним (-), 08:08, 06/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Тому что нет спек на оптические модули, нет драйверов. А вместо процессоров
    > там броадкомы и риалтеки.
    > Еще оптический модуль имеет свою прошивку.
    > Гпон от хуавей использует свои закрытые "технологии". В интернете не найдено случаев
    > подключения gpon через свой SFP.
    > Но на форуме микротика советуют расковырять их sfp модуль и что-то там
    > в HEXом поправить подпаявшись к Spi флешке модуля.
    > Такое себе удовольствие, легче переключить в bridge и не беспокоится.

    А риалтек разве не попенсорс?

     

  • 1.26, Аноним (-), 12:18, 05/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Случайно не на gpon-девайсах от МГТС был зашит один и тот же несменяемый WPS-код?
     
     
  • 2.29, OS2 (?), 12:36, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Случайно да, у Мгтса
     

  • 1.28, Аноним (-), 12:31, 05/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    На всем хуавее от ростелекома несменяемый пароль администратора telecomadmin/admintelecom. Зачем с уязвимостями запариваться?

    Но вроде бы есть фаервол который может огородить доступ из вне.

     
     
  • 2.30, OS2 (?), 12:37, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > На всем хуавее от ростелекома несменяемый пароль администратора telecomadmin/admintelecom.
    > Зачем с уязвимостями запариваться?
    > Но вроде бы есть фаервол который может огородить доступ из вне.

    Проблема в том что огородить могно на huawei а на серкомах нет

     

  • 1.33, Нанобот (ok), 13:22, 05/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >для атаки доступны более миллиона проблемных устройств

    1 млн гигабитных устройств даёт до 1 петабита полосы. вот доберутся ддосеры до них, можно будет закрывать эти ваши интернеты

    > принимающих соединения к web-интерфейсу через реальный IP

    запретить реальный IP!

     
     
  • 2.37, пох (?), 17:01, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > запретить реальный IP!

    ну и что мешает ломать изнутри ростелека?
    (они ж наверняка даже не изолируют эти серые сети)

    а ддосить и через нат прекрасно можно.

     
  • 2.41, Аноним (-), 21:27, 05/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Задудосим вам динамические маскарадники! 😀😁😁😀
     
     
  • 3.49, Аноним (-), 17:07, 06/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >😀😁😁😀

    Сразу видно он поставил Ubuntu 18.04.

     
     
  • 4.51, Аноним (-), 21:42, 06/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    High Sierra
     
  • 2.47, Аноним (-), 08:29, 06/05/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > запретить реальный IP!

    Тоже мне проблема, хаксоры уж давно научились провоцировать прогулки браузеров на 192.168... - вот прямо твой же браузер и отсыпет твоему роутеру правильный урл. Роутер его выполнит. И все это формально как бы в твоем уютном интранете и казалось бы вообще при чем тут какие-то хаксоры.

     
  • 2.54, trololo (?), 09:46, 07/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > запретить реальный IP!

    Нельзя. А то IPv6  потеряет актуальность...

     

  • 1.57, Аноним (57), 06:36, 10/05/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Собрались мега сетевики. Лишь бы ерундой потрясти. Статья на пять маленьких абзацев, а трепу развели как воробьи на проводах.
     
     
  • 2.58, пох (?), 18:33, 10/05/2018 [^] [^^] [^^^] [ответить]  
  • +/
    мои фильтры наелись что-то типа двух десятков тыщ айпишников (!), с которых идут сканы этой дырки, с момента публикации.
    так что статья-то маленькая, а зомбонет получился - изрядный.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру