• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Millones de routers fibra GPON, nuevos objetivos de Mirai y Muhstik

Millones de routers fibra GPON, nuevos objetivos de Mirai y Muhstik

13 mayo, 2018 Por Hispasec Deja un comentario

Una reciente vulnerabilidad descubierta en los gateway GPON, del fabricante Dasan, ponen en peligro millones de routers, tras publicarse diferentes pruebas de concepto. En España, por el momento, solo se verían afectados los operadores Adamo e IngerTV, entre otros.
A principios de este mes, los investigadores de vpnMentor publicaron los CVE (CVE-2018-10561 y CVE-2018-10562) sobre dos vulnerabilidades de salto de restricciones e inyección de comandos en routers de fibra GPON, de la firma Dasan Zhone Solution (DZS) de origen surcoreano. Tras su reporte, que incluía una prueba de concepto totalmente operativa, los diferentes «exploits» no se han hecho esperar, aumentando la peligrosidad de esta nueva vulnerabilidad:


La vulnerabilidades estarían presentes tanto en el mecanismo de autenticación, que sería evadido por el atacante mediante peticiones del estilo «?images/» a cualquier recurso del router:

 /GponForm/diag_FORM?images/

Como por la inyección de comandos, dado que los routers llaman directamente a «ping» y «traceroute» sin aplicar un correcto filtrado de los parámetros, por lo que se pueden inyectar cualquier tipo de comandos a través de dest_host, aplicando los filtros adecuados en función del router:

XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host= &ipv=0

Nivel de afectados
Según los investigadores y los propios datos almacenados en Shodan, existen cerca de un millón de routers activos y potencialmente vulnerables. Los países más afectados son: Mexico (Telmex y Axtel) con más de 400.000 dispositivos, Kazakhstan (JSC Kazakhtelecom) con más de 300.000 y Vietnam con 160.000 dispositivos (FPT Telecom).

Si nos centramos en España, existe un bajo volumen de routers afectados (sobre 2000), relacionados con los operadores de fibra Adamo e IngerTV.


Desde nuestro laboratorio hemos podido comprobar que la vulnerabilidad está presente en muchos de ellos, demostrando la sencillez y peligrosidad de este ataque y que lo hace muy apetecible para cualquier tipo de botnet:



Los routers afectados son, principalmente, la familia Zhone 25xx (como el Zhone ZNID GPON 2516) y la serie GPON H640:


Objetivo de botnets: Muhstik y Mirai


Como comentábamos, esta vulnerabilidad bastante sencilla de explotar, ya está siendo activamente utilizada por las botnets Muhstik, Mirai y variantes. Los investigadores de Netlab 360, han demostrado la gran actividad relacionada con estos dispositivos y su uso en este tipo de botnets, publicando varios IOCs y características de la botnet Muhstik, en concreto.
Aunque comentan la ineficiencia, por el momento, del exploit utilizado que impide la infección de manera efectiva:

Fortunately, the current attack payloads from muhstik, mirai, hajime, and satori, have been tested to be broken and will not implant malicious code.

Soluciones o contramedidas

Para corregir esta vulnerabilidad y dado que la mayoría de estos dispositivos son bastantes antiguos, como comenta DZS, es necesario contactar con nuestro operador para que, o bien sustituya el modelo, o lo pueda actualizar remotamente.


The DZS ZNID-GPON-25xx and certain H640-series ONTs, including the software that introduced this vulnerability, were developed by an OEM supplier and resold by DZS. While designed and released more than 9 years ago, most of these products are now well past their sustainable service life. Because software support contracts are no longer offered for most of these products, we do not have direct insight to the total number of units that are still actively used in the field.

Existe una contramedida facilitada por vpnMentor que permite corregir la vulnerabilidad de manera remota, aprovechándose de la misma para impedir futuros ataques, aunque puede que ya se encontrara infectado el equipo:


GPON Router Vulnerability Antidote
https://www.vpnmentor.com/tools/gpon-router-antidote-patch/


José Mesa
@jsmesa
Más información:

Critical RCE Vulnerability Found in Over a Million GPON Home Routers
https://www.vpnmentor.com/blog/critical-vulnerability-gpon-router/

GPON Exploit in the Wild (I) – Muhstik Botnet Among Others
https://blog.netlab.360.com/gpon-exploit-in-the-wild-i-muhstik-botnet-among-others-en/


Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware, Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ataque a la plataforma cripto deBridge Finance
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Reacción ante ciberataques... en vacaciones
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA

Entradas recientes

  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Microsoft Edge mejora la seguridad contra sitios maliciosos con su modo de seguridad mejorado
  • Ataque a la plataforma cripto deBridge Finance
  • Slack reinicia todas las contraseñas tras un bug que exponía los hashes de las contraseñas de algunos usuarios
  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec