GPON Home Router家庭光纖網關設備漏洞技術分析
前言
什麼是GPON終端?PON終端,俗稱「 光貓」,作用類似於大家所熟悉的ADSL Modem,是光纖到戶家庭需備的網路設備。根據不同的技術和標準,PON 又為分為EPON和GPON兩種
騰訊
WiFi
安全實驗室在
4
月
30
日收到
vpnMentor
在其技術
Blog
公布了兩個關於
GPON Home Router
(家庭光纖網關設備)的漏洞,其中
CVE
為
CVE-2018-10561(
驗證繞過漏洞
)
和
CVE-2018-10562
(命令注入漏洞
)
,使得攻擊者可以遠程用很簡單的命令構造發送請求到
GPON
路由器上進行任意命令執行,騰訊
WiFi
管家安全實驗室在收到以上漏洞之後進行了詳細的技術分析
一、漏洞驗證
發布的
POC
直接運行在某些系統上會有問題,這裡直接轉換成了
python3
代碼
運行結果:
可以看到
POC
首先利用
CVE-2018-10561
繞過了驗證,直接訪問了
/GponForm/dialog_Form(
用於執行命令
)
和
/dialog.html(
用於查看執行結果
)
這兩個頁面,再利用
CVE-2018-10562
在
ping
後注入了任意命令。
二、漏洞代碼分析
為了更好的驗證以及分析以上兩個漏洞成因以及原理,我們在網上尋找了很久終於找到了相關設備的固件文件,然後利用我們的固件分析平台對固件進行解包並且反編譯後,最後根據對反編譯後的源碼進行深入分析,可以看到漏洞代碼主要是在
/bin/WebMgr
這個執行文件中
直接搜索
『images』
字元串,找到
sub_402c30
函數,如下
當字元串含有
style/
,
script/
,
images/
均對
v0
賦值
0
最後驗證通過返回
v0 ==0
否則
v0 == -1
,
通過上面的分析,發現不僅僅是
images/
,
style/
和
script/
均可以觸發該驗證繞過漏洞。
接下來查找注入漏洞的函數
漏洞觸發的整個流程是
web_mainLoop
->
websUrlHandlerDefine
->
E8C_Dialog_init
->
sub_4154a8
->
sub_415b88
以下是對各個函數觸發的分析
1、
web_mainLoop
這個是一個循環,接收到了
/GponForm
之後跳入
websUrlHandlerDefine
2、
E8C_Dialog_init
dialog_Form
之後進入
sub_4154a8
3
、
sub_4154a8
首先是對
dialog_action
和
dest_host
的取值,接著跳入
sub_415b88
4、
sub_415b88
strncpy
拼接了
dest_host
,並且在後面直接對其進行了執行,見下面兩張圖
執行了
dest_host
所帶的命令
我們的漏洞分析平台也發現了該注入點
三、
漏洞影響
根據騰訊
WiFi
管家安全實驗室針對該次漏洞事件的掃描結果發現
GPON Home Gameway
的主機信息
可以看到影響最大的墨西哥和越南兩個國家受影響的設備估計有幾十萬
(
這裡只列出了近期活躍的設備
)
。而因為國內
ISP
對於網路的限制而導致我們在針對國內影響面統計上面無法給出較為客觀的數據顯示,但基於我們以騰訊
WiFi
管家的大數據進行統計分析發現,國內三大網路運營商所提供家庭用戶的光貓設備,有部分型號存在相同的漏洞,截止發稿為止部分海外設備已經過其運營商遠程管理服務進行遠程漏洞修復,但修復速度以及覆蓋面有限。
此外,面對潛在的風險
WiFi
,騰訊
WiFi
管家提供了全面的
WiFi
安全解決方案,為用戶營造穩定、安全、綠色的
WiFi
網路環境。
其一,騰訊
WiFi
管家會根據五星
WiFi
標準向用戶推薦網路快、網路安全的公共
WiFi
;
其二,
「
風險檢測
」
功能可以對上網環境進行關於
ARP
欺詐、
DNS
篡改、虛假釣魚等全方位的安全檢測,並根據風險項提示幫助用戶避免連上風險
WiFi
,保護個人信息安全和手機安全;
其三,騰訊
WiFi
管家特別設置安全支付通道,在用戶支付時自動識別網路環境,並開啟專屬安全加密通道,保障用戶支付安全。
* 本文作者:騰訊WiFi管家,轉載註明來自FreeBuf.COM
TAG:FreeBuf |