千疮百孔的GPON家庭网关「建议收藏」

千疮百孔的GPON家庭网关「建议收藏」2018年5月,vpnMentor在其博客两个有趣的漏洞。可以结合起来攻破GPON家庭网关。一般来说,GPON光网络终端是由互联网服务提供商分发

欢迎大家来到IT世界,在知识的湖畔探索吧!

千疮百孔的GPON家庭网关「建议收藏」

2018年5月,vpnMentor在其博客 两个有趣的漏洞(cve-2018–10561、cve-2018–10562),可以结合起来攻破GPON家庭网关。历经一年,这两个漏洞已经引起了很高的关注,并已被一堆僵尸网络利用起来,比如Mettle、Muhstick、Mirai、Hajime、Satori等等。

冥冥之中,我感觉这个设备背后还有更多的漏洞,说不定会引起更大的波澜。

于是,我花了很长的时间去研究它。一般来说,GPON光网络终端是由互联网服务提供商(ISP)分发给终端用户,用来连接互联网点。经过我的研究发现,至少有五家厂商的GPON家庭网关存在漏洞。你可以用网络设备搜索引擎发现大量潜在的攻击目标:

千疮百孔的GPON家庭网关「建议收藏」

你可能会问,为什么会有五个厂商都存在问题?因为这些设备使用类似的固件。不同产品的固件上的任何差异都是厂商自主修改造成的,但其固件的核心基本不变。我分析了很多不同ISP所使用的产品固件,最终得出这一结论。举个例子,让我们看看来自不同固件包的根文件夹的内容:

千疮百孔的GPON家庭网关「建议收藏」

值得注意的是,GPON家庭网关的固件通常无法在供应商的网站找到,其安全更新机制很不完善。

预热:一个telnet后门

如果我们想找漏洞,通常需要对某个正在运行的服务进行调试,所以,为了更好的进行漏洞挖掘,我从易趣上买一个真正的家庭设备,是由Alcatel-Lucent公司生产的,基于ARM处理器(armv5tel编译固件)的I-240W-Q GPON家庭网关:Feroceon 88FR131 rev 1 (v5l)。

首先,对Alcatel-Lucent I-240W-Q GPON家庭网关的端口扫描就显示出一些有趣的地方。该设备貌似会开启telnet和ssh服务,可能是方便ISP远程管理调试。可是,默认情况下这些端口似乎都会被屏蔽。用nmap扫描结果如下:

千疮百孔的GPON家庭网关「建议收藏」

嗯?我决定浏览WebMgr的二进制文件,尝试寻找一个后门代码。WebMgr是gGPON家庭网关固件的一部分,负责设备的web管理控制台。通过粗略的浏览,“webLoginCheck”看起来有点问题:

千疮百孔的GPON家庭网关「建议收藏」

因为webLoginCheck涉及“ote”和“otd”命令,所以,除了处理身份验证之外,我们还可以利用这些命令来激活或禁用后门代码。

通过发送一个简单的HTTP的GET请求,我们就可以关闭telnet端口的屏蔽!!!

千疮百孔的GPON家庭网关「建议收藏」

通过发送以下命令,我们可以重新激活屏蔽:

千疮百孔的GPON家庭网关「建议收藏」

接下来,我们需要找出登录凭证,使得我们可以通过telnet登录。让我们对“/bin/telnetd”文件逆向看看:

千疮百孔的GPON家庭网关「建议收藏」

OK!这里面似乎有硬编码登入凭证“root/admin”和“root/huigu309”,并提供了shell功能:

千疮百孔的GPON家庭网关「建议收藏」

接着,我在ssh服务中也发现了硬编码的root帐户。

在Web接口中的缓冲区溢出

现在我们可以访问路由器的控制台了,是时候找找某些不安全的C函数了。我们可以通过跟踪用户的HTTP请求的处理流程来进行观察。对于缓冲区溢出,我们都知道以下这个函数功能:

千疮百孔的GPON家庭网关「建议收藏」

原本的功能是将字符串复制到目标数组中。但是,由于这个函数不会检查缓冲区长度,就有可能会触发缓存区溢出。

让我们看一看和HTTP相关的用来处理“usb_Form”的子程序:

千疮百孔的GPON家庭网关「建议收藏」

在IDA Pro中,我们可以看到许多参数都存在问题:“ftpusername”、“ftppassword1”、“ftpdirname”、“clientusername”、“clientpassword”、“urlbody”、“webdir”。用户通过HTTP请求提交的输入直接由strcpy函数复制,并不会安全检查。

让我们通过curl命令来触发DoS漏洞,强制GPON设备重新启动:

千疮百孔的GPON家庭网关「建议收藏」

为了更好的利用这一漏洞,我们最好需要绕过身份验证。

我对“WebMgr”二进制文件进行了不同安全级别的检查,希望找到最简单的利用方法,写一个最完美的PoC:

千疮百孔的GPON家庭网关「建议收藏」

因此,我在GPON路由器上启用了ASLR防护。当然,这并不影响我们攻击堆。如果我们可以找到存储在堆上的位置,就可以通过修改“pc”寄存器修改跳转到指定位置,触发shellcode。嗯,似乎很有希望:

千疮百孔的GPON家庭网关「建议收藏」

最后,我得到了以下PoC,通过触发堆中存储的shellcode,成功绕过了ASLR,开启一个“tftpd”服务:

https://github.com/tenable/poc/blob/master/gpon/nokia_a-l_i-240w-q/gpon_poc_cve-2019-3921.py

欢迎大家来到IT世界,在知识的湖畔探索吧!

利用如下:

千疮百孔的GPON家庭网关「建议收藏」

结论

在互联网世界中,路由器是网络上最重要的设备。而家庭路由器更是唯一将我们的私人网络与互联网分开的边界设备。这个闪烁的小盒子可以防御外部大量的渗透攻击。为了维护这个边界设备,路由器的固件和硬件都需要不断升级和改进。对于现在的攻击者来说,过时的旧设备是最好的攻击方向。

根据Cyber-ITL研究人员的最新研究,大多数路由器都很不安全。不幸的是,Alcatel-Lucent I-240W-Q gpon家庭网关也是如此。由于缺乏安全功能,再加上糟糕的代码,使得攻击者可完全控制设备。

我们已经按照漏洞披露政策向产品的安全团队报告了漏洞,他们已经发布了安全补丁。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

来源:https://nosec.org/home/detail/2299.html

原文:https://medium.com/tenable-techblog/gpon-home-gateway-rce-threatens-tens-of-thousands-users-c4a17fd25b97

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://itzsg.com/11476.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

联系我们YX

mu99908888

在线咨询: 微信交谈

邮件:itzsgw@126.com

工作时间:时刻准备着!

关注微信