Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
mayo
(Total:
16
)
- PornHub ofrece servicio gratuito VPN (con anuncios...
- Ataques sónicos y ultrasónicos pueden dañar o colg...
- Amazon reconoce que Alexa grabó por error a una co...
- Arrestados dos franceses de 18 años responsables d...
- VPNFilter, el malware que afecta a 500.000 routers
- 95 actualizaciones de seguridad para Adobe; 47 par...
- Holanda dejará de utilizar el antivirus de la empr...
- Adolescente consigue engañar con Phishing a profes...
- Grave vulnerabilidad RCE en millones de routers fi...
- IBM prohíbe el uso de unidades de almacenamiento U...
- Prisión y multa para el jugador responsable ataque...
- Apple hará que los iPhones sean más difíciles de h...
- Nueva ley GDPR: las empresas tendrán 72 horas para...
- Descubierta grave vulnerabilidad en 7-Zip
- Twitter recomienda a sus usuarios a cambiar la con...
- Fundador y CEO de WhatsApp renuncia tras supuestas...
-
▼
mayo
(Total:
16
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Grave vulnerabilidad RCE en millones de routers fibra Zhone GPON
lunes, 14 de mayo de 2018
|
Publicado por
el-brujo
|
Editar entrada
Una reciente vulnerabilidad descubierta en los gateway GPON, del fabricante Zhone Dasan, ponen en peligro millones de routers, tras publicarse diferentes pruebas de concepto. En España, por el momento, solo se verían afectados los operadores españoles Adamo e IngerTV, entre otros, que tengan habilitada la administración remota (desactivada por defecto). En México (Telmex y Axtel) cuentan con más de 400.000 dispositivos vulnerables.
A principios de este mes, los investigadores de vpnMentor publicaron los CVE (CVE-2018-10561 y CVE-2018-10562) sobre dos vulnerabilidades de salto de restricciones e inyección de comandos en routers de fibra GPON, de la firma Dasan Zhone Solution (>DZS>) de origen surcoreano. Tras su reporte, que incluía una prueba de concepto totalmente operativa, los diferentes "exploits" no se han hecho esperar, aumentando la peligrosidad de esta nueva vulnerabilidad.
La vulnerabilidades estarían presentes tanto en el mecanismo de autenticación, que sería evadido por el atacante mediante peticiones del estilo "?images/" a cualquier recurso del router:
Desde el laboratorio de Hispasec han podido comprobar que la vulnerabilidad está presente en muchos de ellos, demostrando la sencillez y peligrosidad de este ataque y que lo hace muy apetecible para cualquier tipo de botnet:
Los routers afectados son, principalmente, la familia Zhone 25xx (como el Zhone ZNID GPON 2516) y la serie GPON H640
GPON (Gigabit-capable Passive Optical Network)
En España Adamo proporciona dos modelos de routers ONT (Optical Network Terminal) de fibra óptica:
Objetivo de botnets: Muhstik y Mirai
Como comentábamos, esta vulnerabilidad bastante sencilla de explotar, ya está siendo activamente utilizada por las botnets Muhstik, Mirai y variantes. Los investigadores de Netlab 360, han demostrado la gran actividad relacionada con estos dispositivos y su uso en este tipo de botnets, publicando varios IOCs y características de la botnet Muhstik, en concreto.
Soluciones o contramedidas
Para corregir esta vulnerabilidad y dado que la mayoría de estos dispositivos son bastantes antiguos, como comenta DZS, es necesario contactar con nuestro operador para que, o bien sustituya el modelo, o lo pueda actualizar remotamente.
Nuevos objetivos de Mirai y Muhstik
A principios de este mes, los investigadores de vpnMentor publicaron los CVE (CVE-2018-10561 y CVE-2018-10562) sobre dos vulnerabilidades de salto de restricciones e inyección de comandos en routers de fibra GPON, de la firma Dasan Zhone Solution (>DZS>) de origen surcoreano. Tras su reporte, que incluía una prueba de concepto totalmente operativa, los diferentes "exploits" no se han hecho esperar, aumentando la peligrosidad de esta nueva vulnerabilidad.
La vulnerabilidades estarían presentes tanto en el mecanismo de autenticación, que sería evadido por el atacante mediante peticiones del estilo "?images/" a cualquier recurso del router:
/GponForm/diag_FORM?images/
Como por la inyección de comandos, dado que los routers llaman directamente a "ping" y "traceroute" sin aplicar un correcto filtrado de los parámetros, por lo que se pueden inyectar cualquier tipo de comandos a través de dest_host, aplicando los filtros adecuados en función del router:
XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host= <comando> &ipv=0
Nivel de afectados
Según los investigadores y los propios datos almacenados en Shodan, existen cerca de un millón de routers activos y potencialmente vulnerables. Los países más afectados son: México (Telmex y Axtel) con más de 400.000 dispositivos, Kazakhstan (JSC Kazakhtelecom) con más de 300.000 y Vietnam con 160.000 dispositivos (FPT Telecom).
Si nos centramos en España, existe un bajo volumen de routers afectados (sobre 2000), relacionados con los operadores de fibra Adamo e IngerTV.
Desde el laboratorio de Hispasec han podido comprobar que la vulnerabilidad está presente en muchos de ellos, demostrando la sencillez y peligrosidad de este ataque y que lo hace muy apetecible para cualquier tipo de botnet:
Los routers afectados son, principalmente, la familia Zhone 25xx (como el Zhone ZNID GPON 2516) y la serie GPON H640
GPON (Gigabit-capable Passive Optical Network)
En España Adamo proporciona dos modelos de routers ONT (Optical Network Terminal) de fibra óptica:
- ZHone ZNID GPON 2516 (2011-2013)
Objetivo de botnets: Muhstik y Mirai
Como comentábamos, esta vulnerabilidad bastante sencilla de explotar, ya está siendo activamente utilizada por las botnets Muhstik, Mirai y variantes. Los investigadores de Netlab 360, han demostrado la gran actividad relacionada con estos dispositivos y su uso en este tipo de botnets, publicando varios IOCs y características de la botnet Muhstik, en concreto.
Aunque comentan la ineficiencia, por el momento, del exploit utilizado que impide la infección de manera efectiva:
Fortunately, the current attack payloads from muhstik, mirai, hajime, and satori, have been tested to be broken and will not implant malicious code.
Para corregir esta vulnerabilidad y dado que la mayoría de estos dispositivos son bastantes antiguos, como comenta DZS, es necesario contactar con nuestro operador para que, o bien sustituya el modelo, o lo pueda actualizar remotamente.
The DZS ZNID-GPON-25xx and certain H640-series ONTs, including the software that introduced this vulnerability, were developed by an OEM supplier and resold by DZS. While designed and released more than 9 years ago, most of these products are now well past their sustainable service life. Because software support contracts are no longer offered for most of these products, we do not have direct insight to the total number of units that are still actively used in the field.
Existe una contramedida facilitada por vpnMentor que permite corregir la vulnerabilidad de manera remota, aprovechándose de la misma para impedir futuros ataques, aunque puede que ya se encontrara infectado el equipo:
GPON Router Vulnerability Antidote
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
2 comentarios :
El DZS ZNID-GPON-25xx y ciertos ONT de la serie H640, incluido el software que introdujo esta vulnerabilidad, fueron desarrollados por un proveedor OEM y revendidos por DZS. Diseñados y lanzados hace más de 9 años, la mayoría de estos productos ya han superado su vida útil sostenible. Por otro lado, leí algunos desarrollos importantes en VPN aquí https://www.criticthoughts.com/guides/what-is-vpn-beginners-guide/
Debe haber más avances para mejorar los protocolos de seguridad.
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.