Tenable phát hiện ra lỗ hổng thực thi mã từ xa trong Routers GPON

Tenable phát hiện ra lỗ hổng thực thi mã từ xa trong Routers GPON

February 28, 2019 | vietsunshine

Tenable Research đã phát hiện ra sáu lỗ hổng mới trong các bộ định tuyến GPON I-240W-Q của Nokia (Alcatel-Lucent) có thể cung cấp cho kẻ tấn công quyền truy cập telnet, DoS mục tiêu hoặc chạy mã tùy ý.

Tổng quan về lỗ hổng trong các bộ định tuyến GPON

Các bộ định tuyến I-240W-Q Gigabit Passive Optical Network (GPON) của Nokia (Alcatel-Lucent) được thiết kế để thay thế các mạng đồng tiêu chuẩn. Các bộ định tuyến này đã trở thành một mục tiêu hấp dẫn cho các botnet.

Nhà nghiên cứu của Tenable Artem Metla đã phát hiện ra sáu lỗ hổng mới trong các bộ định tuyến GPON của Nokia (Alcatel-Lucent) (CVE-2019-3917, CVE-2019-3918, CVE-2019-3919, CVE-2019-3920, CVE- 2019-3921, CVE-2019-3922). Những lỗ hổng này bao gồm một backdoor có thể truy cập từ xa, thông tin được mã hóa cứng, tiêm lệnh và tràn bộ đệm.

Phân tích các lỗ hổng bảo mật trong các bộ định tuyến GPON

  • CVE-2019-3917: Bằng cách gửi yêu cầu HTTP được chế tạo đặc biệt đến thiết bị, kẻ tấn công từ xa có thể vô hiệu hóa một phần tường lửa và để dịch vụ Telnet tiếp cận với bên ngoài.
  • CVE-2019-3918: Thông tin gốc được mã hóa cứng đã được phát hiện trong các dịch vụ Dropbear (SSH) và Telnet.
  • CVE-2019-3919, CVE-2019-3920: Kẻ tấn công được xác thực có thể sử dụng các yêu cầu HTTP POST độc hại để tận dụng các lệnh gọi hệ thống không được xác thực () để thực thi các lệnh shell như người dùng root và leo thang lên cấp độ OS của bộ định tuyến.
  • CVE-2019-3921 (Được xác thực), CVE-2019-3922 (Chưa được xác thực): Kẻ tấn công có thể gửi các yêu cầu HTTP độc hại để kích hoạt tràn bộ đệm ngăn chặn gây ra lỗi DoS hoặc thực thi mã tùy ý. Nhà nghiên cứu Artem Metla đã viết một bằng chứng về khái niệm cho CVE-2019-3921.

Tác động của các lỗ hổng bảo mật trong các bộ định tuyến GPON

Nếu một trong các bộ định tuyến này bị xâm phạm, một tác nhân đe dọa có thể khởi động các cuộc tấn công man in the middle  (MitM) để theo dõi lưu lượng mạng, sửa đổi các yêu cầu và phản hồi và ghi nhật ký tất cả thông tin liên lạc. Các tập lệnh độc hại cũng có thể được đặt trên thiết bị để khởi động các cuộc tấn công chống lại các tài sản mà trước đây không bị tấn công từ bên ngoài. Các bộ định tuyến bị xâm nhập có thể được sử dụng cùng với các thiết bị độc hại khác để giải phóng các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Cuối cùng, các thiết bị này có thể được sử dụng để phát tán phần mềm độc hại để tạo botnet cho nhiều mục đích sử dụng độc hại.

Giải pháp cho các lỗ hổng bảo mật trong các bộ định tuyến GPON 

Nokia được cho là đang làm việc trên các bản vá cho các lỗ hổng này. Nếu bạn tin rằng bạn bị ảnh hưởng, bạn có thể liên hệ với Nokia để biết thêm thông tin.

Nguồn: Tenable Blog

Xem thêm: [CẢNH BÁO AN NINH MẠNG] GPON Routers – Botnet tiếp theo?

Tags: , ,