GPON事件研究綜整

GPON事件研究綜整

0X0 說明

鑒於近期發生家用型光纖路由器因存在漏洞,遭利用為挖掘虛擬貨幣設備,或成為殭屍網路節點,並且有社群版友分享遭攻擊事件,以下綜整及粗略研析,有關GPON事件相關資料。

0X1 背景

GPON,Gigabit Passive Optical Network縮寫,基於ITU-TG.984.x標準的最新一代寬頻無源光綜合接入標準,GPON技術主要是將光纖技術、光纖分配技術、光纖網路技術三個部分共同組合,它是通過採用點到多點的拓撲結構將光纖接入到其中,從而引進GEM技術的現代化格式,這種技術的應用能有效的滿足眾多用戶的新要求,對整個語音功能、使用功能和傳輸功能的普及提出了新的標準。[1][2]

與銅線電纜相比,GPON可以減少維護費用,並徹底避免掉雜訊干擾,在眾多解決接取網路瓶頸技術中,GPON是唯一可在單一波長下提供2.5Gbps頻寬的技術,對於接取層來說,其更能適應未來的FTTx寬頻市場。[3]安全公司指出,GPON是一種常見的被動光纖網路,通常此類家用路由器是由ISP提供,估計全球有1,054,692台GPON路由器曝險,墨西哥及哈薩克為最主要集中地,其他地區包括越南等。[4]



參考來源:https://www.fs.com/overview-of-gpon-technology-aid-500.html


0X2 事件

5月1日iThome報導安全公司vpnMentor於4月底發現針對大量GPON(Gigabit Passive Optical Network)家用路由器進行分析,發現這些路由器韌體存在兩個重大風險漏洞,分別為CVE-2018-10561 及CVE-2018-10562,前者可讓駭客繞過路由器上所有驗證,後者則允許被駭路由器上注入與執行遠端指令。[4][5]

藉由CVE-2018-10561,駭客只要在瀏覽器的網址列輸入一道URL,後加入?images/,就能繞過所有驗證機制。安全研究人員指出,這項攻擊手法是利用裝置驗證時檢查URL特定路徑,
因此不只對GPON路由器,對HTTP伺服器也有用,而在結合第二項漏洞,駭客即可注入指令,接管路由器甚至網路。[4]

本社群版友Ray Liu 5月12日於社群與大家分享伺服器遭攻擊事件,並且與大家討論與確認所發生情況,後比對相關資料發現,與報導情況相符,但觀察發現應屬於HTTP伺服器因存在漏洞,遭攻擊或植入事件,後續協請版友Ray Liu提供資料佐證。

0x3 漏洞說明

Multiple GPON Home Routers security bypass
漏洞編號:CVE-2018-10561
CVSS SCORE:9.8 IBM X-Force Exchange [6]
CVSS V3 :CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
GPON主路由器可允許駭客利用漏洞將“?images /”附加到Web地址的末尾,
繞過身份驗證機制獲得路由器存取權限。

Multiple GPON Home Routers security bypass
漏洞編號:CVE-2018-10562
CVSS SCORE:9.8 IBM X-Force Exchange [6]
CVSS V3 :CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
GPON主路由器可允許駭客利用漏洞使用host參數,以root權限在系統上註入並執行任意命令。

受影響產品:DASAN Networks GPON home routers

0x4 國外案例

1.5月初安全公司vpnMentor發現南韓廠商Dasan Networks的GPON(Gigabit Passive Optical Network)家用路由器存在兩項漏洞CVE-2018-10561 及CVE-2018-10562,前者可讓駭客在瀏覽器的網址列輸入一道URL,後加入?images/,就能繞過路由器上所有驗證,後者則允許被駭路由器上注入與執行遠端指令。經統計全球約有超過百萬台路由器曝險,不過業者對BleepingComputer表示,受感染台數並未到百萬台,而是不到24萬台。[5][8]

2.Qihoo 360公司研究人員近日進一步發現,至少有5種殭屍網路病毒開採這兩個漏洞CVE-2018-10561 及CVE-2018-10562,包括Mettle、Muhstik、Mirai、Hajime 和Satori;研究人員表示,這是他們第一次看到那麼多殭屍網路在設備上如此競爭,所幸Muhstik、Mirai、Hajime 和Satori的攻擊程式出現錯誤,尚未成功植入惡意程式;而唯一成功植入的Mettle的C&C伺服器目前離線中,意謂著未正在運作;Muhstik、Mirai、Hajime、Satori都在2017年初到今年之間大規模感染物聯網(IoT)裝置,受害者數萬到數十萬,Muhstik在今年4月被Qihoo發現以來,短期間就更新並發動三次攻擊,包括針對Dasan Networks產品的一次,使其攻擊總數已經累積到10次。

該公司已結合其他安全社群關閉Muhstik部分伺服器,迫使它轉移陣地,不過仍然未完全殲滅。[8][9][10]
資料來源:https://blog.netlab.360.com/gpon-exploit-in-the-wild-i-muhstik-botnet-among-others/

0x5 版友Ray Liu 通報案例說明

版友Ray Liu 於本社群分享遭到了GPON(CVE-2018-10561)攻擊事件,並在確認分享意願後,進行模擬攻擊重現,並提供相關資料分享[13]



0x6 簡易研析

目前VPN Mentor披露了GPON Home Routers的兩個漏洞CVE-2018-10561、CVE-2018-10562,目前已有Expoit Code,GPON Routers - Authentication Bypass / Command Injection[11],Qihoo 360公司從(5月2號)開始,陸續看到有殭屍網絡在利用該漏洞擴展感染範圍,到5月10日為止,Qihoo 360公司累積捕獲並分析了5個家族的惡意程式(分別是mettle、muhstik、mirai、hajime、satori)在利用這些漏洞。

因近年來常發生路由器或IOT設備等存放簡易型網頁管理設備因系統弱點較少進行常態性修補,因此常發生因設備韌體漏洞,使外部攻擊者利用漏洞,將設備做為殭屍網路端點或加密貨幣採礦設備,因此以設備管理角度去看,建議時常關注自己的外部網路設備,確認是否有異常行為發生,下表由AlienVault OTX 提供Botnet exploiting GPON Vulnerability Indicators of Compromise[11] 可做為設備阻擋或觀察名單,根據AlienVault OTX 提供資料可發現,目前利用該漏洞進行攻擊的人想要針對IOT設備進行突擊,並且拿取後做為中繼站殭屍網路節點。


IPv4
185.62.190.191
FileHash-SHA256
1ff787d52bc9e4a6c27d75b1a427c3e5dd16d6d5f082a79227c14edf8e908ab2
FileHash-SHA256
7caac9c9fa954730665d63b692119ba5f14ee6c07cf11ffc60bca7b3d25ea109
FileHash-SHA256
a79964ce5cf4b92f996bbc24230e102b94ef05fb072c0afdeabc88d28695cace
FileHash-SHA256
bab7e9f42df88902acb00fbdf3b4b5d8ffec2a1a7ad32eb5f2fb1dbf38f3167d
FileHash-SHA256
efa4fe06e4949c0f7aedea61a79da92e379ea66b169cd1d99c47b9e93e814093
URL
http://185.62.190.191/arm
URL
http://185.62.190.191/arm.shell
URL
http://185.62.190.191/arm7
URL
http://185.62.190.191/arm7.shell
URL
http://185.62.190.191/mips
URL
http://185.62.190.191/mips.shell
URL
http://185.62.190.191/mipsel
URL
http://185.62.190.191/mipsel.shell
URL
http://185.62.190.191/r

另附上 STIX





0x7 參考資料

1.GPON
http://wiki.mbalib.com/zh-tw/GPON

2.GPON是什麼?跟傳統傳輸EPON有何不同?為何FTTB光纖要用GPON傳輸?
https://bit.ly/2rJYNAS

3.GPON
https://www.moneydj.com/KMDJ/wiki/WikiViewer.aspx?Title=GPON

4.光纖路由器爆RCE漏洞,上百萬台家用路由器門戶洞開
https://www.ithome.com.tw/news/122791

5.Critical RCE Vulnerability Found in Over a Million GPON Home Routers
https://www.vpnmentor.com/blog/critical-vulnerability-gpon-router/

6.Multiple GPON Home Routers security bypass
https://exchange.xforce.ibmcloud.com/vulnerabilities/142593
https://exchange.xforce.ibmcloud.com/vulnerabilities/142594

7.Critical RCE Vulnerability Found in Over a Million GPON Home Routers
https://www.vpnmentor.com/blog/critical-vulnerability-gpon-router/

8.南韓業者GPON路由器漏洞遭5種殭屍網路開採
https://www.ithome.com.tw/news/123090

9.GPON Exploit in the Wild (I) - Muhstik Botnet Among Others
https://blog.netlab.360.com/gpon-exploit-in-the-wild-i-muhstik-botnet-among-others-en/

10.GPON漏洞的在野利用(一) - muhstik殭屍網絡
https://blog.netlab.360.com/gpon-exploit-in-the-wild-i-muhstik-botnet-among-others/

11.Botnet exploiting GPON Vulnerability
https://otx.alienvault.com/pulse/5af4123acb33890af1f6e769

12.GPON Home Gateway 遠程命令執行漏洞被利用情況
https://paper.seebug.org/595/

13.GPON攻擊重現(CVE-2018-10561)
https://www.lazyfu.com/2018/05/14/gpon_cve_2018_10561/

14.UPDATED – Critical RCE vulnerability found in over a million GPON Home Routers
https://securityaffairs.co/wordpress/71987/hacking/gpon-home-routers-hack.html

15.Over a million vulnerable fiber routers can be easily hacked
https://www.zdnet.com/article/over-a-million-vulnerable-fiber-routers-can-be-easily-hacked/

沒有留言:

張貼留言

資安事件新聞週報 2021/9/6 ~ 2021/9/10

  資安事件新聞週報 2021/9/6  ~  2021/9/10 1.重大弱點漏洞/後門/Exploit/Zero Day Cisco 發布Enterprise NFV Infrastructure Software(NFVIS)軟體安全更新 https://us-cert.c...