Una reciente
vulnerabilidad descubierta en los gateway GPON, del fabricante Dasan, ponen en
peligro millones de routers, tras publicarse diferentes pruebas de concepto. En
España, por el momento, solo se verían afectados los operadores Adamo e
IngerTV, entre otros.
A principios de este
mes, los investigadores de vpnMentor publicaron los CVE (CVE-2018-10561 y
CVE-2018-10562) sobre dos vulnerabilidades de salto de restricciones e
inyección de comandos en routers de fibra GPON, de la firma Dasan Zhone
Solution (DZS) de origen surcoreano.
La vulnerabilidades
estarían presentes tanto en el mecanismo de autenticación, que sería evadido
por el atacante mediante peticiones del estilo "?images/" a cualquier
recurso del router:
/GponForm/diag_FORM?images/
Como por la inyección
de comandos, dado que los routers llaman directamente a "ping" y
"traceroute" sin aplicar un correcto filtrado de los parámetros, por
lo que se pueden inyectar cualquier tipo de comandos a través de dest_host,
aplicando los filtros adecuados en función del router:
XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=
&ipv=0
Nivel de afectados
Según los
investigadores y los propios datos almacenados en Shodan, existen cerca de un
millón de routers activos y potencialmente vulnerables. Los países más
afectados son: Mexico (Telmex y Axtel) con más de 400.000 dispositivos,
Kazakhstan (JSC Kazakhtelecom) con más de 300.000 y Vietnam con 160.000
dispositivos (FPT Telecom).
Si nos centramos en
España, existe un bajo volumen de routers afectados (sobre 2000), relacionados
con los operadores de fibra Adamo e IngerTV.
Los routers afectados
son, principalmente, la familia Zhone 25xx (como el Zhone ZNID GPON 2516) y la
serie GPON H640:
Objetivo de botnets: Muhstik y Mirai
Como comentábamos,
esta vulnerabilidad bastante sencilla de explotar, ya está siendo activamente
utilizada por las botnets Muhstik, Mirai y variantes. Los investigadores de
Netlab 360, han demostrado la gran actividad relacionada con estos dispositivos
y su uso en este tipo de botnets, publicando varios IOCs y características de
la botnet Muhstik, en concreto.
Aunque comentan la
ineficiencia, por el momento, del exploit utilizado que impide la infección de
manera efectiva:
Fortunately,
the current attack payloads from muhstik, mirai, hajime, and satori, have been
tested to be broken and will not implant malicious code.
Soluciones o contramedidas
Para corregir esta
vulnerabilidad y dado que la mayoría de estos dispositivos son bastantes
antiguos, como comenta DZS, es necesario contactar con nuestro operador para
que, o bien sustituya el modelo, o lo pueda actualizar remotamente.
The DZS
ZNID-GPON-25xx and certain H640-series ONTs, including the software that
introduced this vulnerability, were developed by an OEM supplier and resold by
DZS. While designed and released more than 9 years ago, most of these products
are now well past their sustainable service life. Because software support
contracts are no longer offered for most of these products, we do not have
direct insight to the total number of units that are still actively used in the
field.
Existe una
contramedida facilitada por vpnMentor que permite corregir la vulnerabilidad de
manera remota, aprovechándose de la misma para impedir futuros ataques, aunque
puede que ya se encontrara infectado el equipo:
- GPON
Router Vulnerability Antidote https://www.vpnmentor.com/tools/gpon-router-antidote-patch/
Fuente: Hispasec