GPON Home Router家庭光纤网关设备漏洞技术分析

前言

什么是GPON终端?PON终端,俗称“ 光猫”,作用类似于大家所熟悉的ADSL Modem,是光纤到户家庭需备的网络设备。根据不同的技术和标准,PON 又为分为EPON和GPON两种

腾讯WiFi安全实验室在4月30 日收到vpnMentor在其技术Blog公布了两个关于GPON Home Router (家庭光纤网关设备)的漏洞,其中CVE为CVE-2018-10561( 验证绕过漏洞)和CVE-2018-10562(命令注入漏洞) ,使得攻击者可以远程用很简单的命令构造发送请求到GPON路由器上进行任意命令执行,腾讯WiFi管家安全实验室在收到以上漏洞之后进行了详细的技术分析

一、漏洞验证

发布的POC直接运行在某些系统上会有问题,这里直接转换成了python3代码

运行结果:

可以看到POC首先利用CVE-2018-10561绕过了验证,直接访问了 /GponForm/dialog_Form(用于执行命令)和/dialog.html(用于查看执行结果 )这两个页面,再利用CVE-2018-10562在ping后注入了任意命令。

二、漏洞代码分析

为了更好的验证以及分析以上两个漏洞成因以及原理,我们在网上寻找了很久终于找到了相关设备的固件文件,然后利用我们的固件分析平台对固件进行解包并且反编译后,最后根据对反编译后的源码进行深入分析,可以看到漏洞代码主要是在/bin/WebMgr这个执行文件中

直接搜索‘images’字符串,找到sub_402c30函数,如下

当字符串含有style/,script/,images/ 均对v0赋值0

最后验证通过返回v0 ==0否则v0 == -1, 通过上面的分析,发现不仅仅是images/,style/和script/ 均可以触发该验证绕过漏洞。

接下来查找注入漏洞的函数

漏洞触发的整个流程是web_mainLoop -> websUrlHandlerDefine -> E8C_Dialog_init -> sub_4154a8 -> sub_415b88 以下是对各个函数触发的分析

1、web_mainLoop

这个是一个循环,接收到了/GponForm之后跳入websUrlHandlerDefine

2、E8C_Dialog_init

dialog_Form之后进入sub_4154a8

3、sub_4154a8

首先是对dialog_action和dest_host的取值,接着跳入 sub_415b88

4、sub_415b88

strncpy拼接了dest_host,并且在后面直接对其进行了执行,见下面两张图

执行了dest_host所带的命令

我们的漏洞分析平台也发现了该注入点

三、漏洞影响

根据腾讯WiFi管家安全实验室针对该次漏洞事件的扫描结果发现GPON Home Gameway的主机信息

可以看到影响最大的墨西哥和越南两个国家受影响的设备估计有几十万(这里只列出了近期活跃的设备)。而因为国内 ISP对于网络的限制而导致我们在针对国内影响面统计上面无法给出较为客观的数据显示,但基于我们以腾讯WiFi管家的大数据进行统计分析发现,国内三大网络运营商所提供家庭用户的光猫设备,有部分型号存在相同的漏洞,截止发稿为止部分海外设备已经过其运营商远程管理服务进行远程漏洞修复,但修复速度以及覆盖面有限。

此外,面对潜在的风险WiFi,腾讯WiFi管家提供了全面的 WiFi安全解决方案,为用户营造稳定、安全、绿色的WiFi网络环境。其一,腾讯WiFi 管家会根据五星WiFi标准向用户推荐网络快、网络安全的公共WiFi;其二, “风险检测”功能可以对上网环境进行关于ARP欺诈、 DNS篡改、虚假钓鱼等全方位的安全检测,并根据风险项提示帮助用户避免连上风险WiFi,保护个人信息安全和手机安全;其三,腾讯 WiFi管家特别设置安全支付通道,在用户支付时自动识别网络环境,并开启专属安全加密通道,保障用户支付安全。

* 本文作者:腾讯WiFi管家,转载注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-06-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏信安之路

金融黑客的惯用手段 MITB

所谓的 MITB 技术就是 man-in-the-browser 的简称,也就是浏览器中间人攻击方式。我们先来回顾一下经典的中间人攻击方式。

930
来自专栏FreeBuf

Android系统中也存在Web注入吗?

有一类专门针对浏览器的攻击,被称为浏览器中间人(MITB)攻击。想要实现这类攻击,方式也非常的多,像恶意 DDL 注入,扩展欺骗或将一些特制的恶意代码注入到...

2125
来自专栏NewTech视野

从黑客那里保护公司网站的12个技巧

通常您的网站开放运行如同无需锁门但依然安全开放的办公室一样:因为大多数人不会仅仅步入并访问您的办公室就洞察到您所有的数据信息。偶尔您会发现有不怀好意的人进入并偷...

1030
来自专栏FreeBuf

沉睡一年的“脏牛”又被攻击者利用,Android用户你们还好吗?

还记得 2016 年那个著名的 Linux 内核级漏洞 Dirty Cow(脏牛)吗?2016 年 10 月,研究人员发现 Linux 内核的内存子系统在处理写...

3205
来自专栏Seebug漏洞平台

酷视(NEO Coolcam)网络摄像头登录绕过及多个基于堆栈溢出的远程代码执行漏洞及数据分析报告

深圳市丽欧电子有限公司(NEO Coolcam,以下简称酷视)[1],是一家集网络数码产品研发、生产、营销于一体的高新技术企业,是国内最早进入网络摄像头领域的专...

1602
来自专栏鹅厂网事

谁动了我的域名

昨天小编邀请了我们负责域名解析的好伙伴---廖伟健为我们分享了域名相关的内容,惊闻昨晚两家知名企业域名解析突发故障,今天我们再次请到廖伟健给我们分析一下! 一...

3985
来自专栏FreeBuf

银行木马Trickbot新模块:密码抓取器分析

Trickbot曾经是一个简单的银行木马,已经走过了漫长的道路。随着时间的推移,我们已经看到网络犯罪分子如何继续为此恶意软件添加更多功能。

1573
来自专栏SAP最佳业务实践

SAP最佳业务实践:ETO–项目装配(240)-3创建客户订单

image.png VA01创建客户订单 在第一个步骤中创建客户订单。参考在业务情景 232: ETO - 报价处理中创建的报价创建订单。 角色销售助理 后勤®...

4547
来自专栏FreeBuf

多伦多大学:UC浏览器收集并发送用户隐私数据分析报告

0x01 问题概要 UC浏览器是中国和印度地区最为流行的web浏览器,也是全球第四大移动浏览器,仅次于chrome、Android浏览器和Safari浏览器,目...

4989
来自专栏腾讯云数据库(TencentDB)

Redis勒索事件爆发,如何避免从删库到跑路?

9月10日下午,又一起规模化利用Redis未授权访问漏洞攻击数据库的事件发生,此次黑客以勒索钱财作为第一目的,猖狂至极,攻击者赤裸裸威胁,直接删除数据库...

7.5K78

扫码关注云+社区

领取腾讯云代金券