В маршрутизаторах GPON (Gigabit-capable Passive Optical Networks) для домашних сетей, выпускаемых различными производителями, выявлены критические уязвимости, позволяющие получить доступ к операциям в web-интерфейсе без прохождения аутентификации и запустить любые команды на устройстве.
Первая уязвимость (CVE-2018-10561) даёт возможность обойти механизм аутентификации — для выполнения любых операции в web-интерфейсе достаточно добавить строку «?images/» к URL страницы (например, «/diag.html?images/» или «/GponForm/diag_FORM?images/»). Уязвимость присутствует в типовом HTTP-сервере, применяемом в различных моделях домашних GPON-маршрутизаторов.
Вторая уязвимость (CVE-2018-10562) позволяет помимо штатных операций в web-интерфейсе выполнить любые команды в контексте операционной системы устройства. Уязвимость вызвана отсутствием должных проверок при выполнении операций ping и traceroute в форме /diag.html. Данные операции выполняются через запуск одноимённых команд с передачей указанных пользователем аргументов. Так как входные данные не проверяются должным образом, имеется возможность через передачу «`id`;192.168.1.1» в поле IP-адреса запустить любую команду на устройстве. Интересно, что об этой уязвимости упоминалось в комментариях год назад. В сети также можно найти публичные эксплоиты для проведения CSRF-атак, датированные 2015 годом.
Проблемы не специфичны для конкретного производителя устройств и проявляются на широком спектре рутеров для пассивных оптических сетей GPON. В интернете уже зафиксированы попытки организации автоматизированных атак для захвата контроля за устройствами и построения из них ботнета. По предварительно оценке для атаки доступны более миллиона проблемных устройств, принимающих соединения к web-интерфейсу через реальный IP. Прогнозы относительно выпуска обновлений прошивки с устранением уязвимости пока неутешительны — многие устанавливаемые провайдерами GPON-устройства выпускались по OEM-контрактам под собственными брендами и уже не поддерживаются.
UPD: Компания vpnMentor объявила о выпуске неофицильного патча, который можно взять тут