千疮百孔的GPON家庭网关

2018年5月，vpnMentor在其博客公布两个有趣的漏洞（cve-2018–10561、cve-2018–10562），可以结合起来攻破GPON家庭网关。历经一年，这两个漏洞已经引起了很高的关注，并已被一堆僵尸网络利用起来，比如Mettle、Muhstick、Mirai、Hajime、Satori等等。

冥冥之中，我感觉这个设备背后还有更多的漏洞，说不定会引起更大的波澜。

于是，我花了很长的时间去研究它。一般来说，GPON光网络终端是由互联网服务提供商（ISP）分发给终端用户，用来连接互联网点。经过我的研究发现，至少有五家厂商的GPON家庭网关存在漏洞。你可以用网络设备搜索引擎发现大量潜在的攻击目标：

你可能会问，为什么会有五个厂商都存在问题？因为这些设备使用类似的固件。不同产品的固件上的任何差异都是厂商自主修改造成的，但其固件的核心基本不变。我分析了很多不同ISP所使用的产品固件，最终得出这一结论。举个例子，让我们看看来自不同固件包的根文件夹的内容：

值得注意的是，GPON家庭网关的固件通常无法在供应商的网站找到，其安全更新机制很不完善。

预热：一个telnet后门

如果我们想找漏洞，通常需要对某个正在运行的服务进行调试，所以，为了更好的进行漏洞挖掘，我从易趣上买一个真正的家庭设备，是由Alcatel-Lucent公司生产的，基于ARM处理器（armv5tel编译固件）的I-240W-Q GPON家庭网关：Feroceon 88FR131 rev 1 (v5l)。

首先，对Alcatel-Lucent I-240W-Q GPON家庭网关的端口扫描就显示出一些有趣的地方。该设备貌似会开启telnet和ssh服务，可能是方便ISP远程管理调试。可是，默认情况下这些端口似乎都会被屏蔽。用nmap扫描结果如下：

嗯？我决定浏览WebMgr的二进制文件，尝试寻找一个后门代码。WebMgr是gGPON家庭网关固件的一部分，负责设备的web管理控制台。通过粗略的浏览，“webLoginCheck”看起来有点问题：

因为webLoginCheck涉及“ote”和“otd”命令，所以，除了处理身份验证之外，我们还可以利用这些命令来激活或禁用后门代码。

通过发送一个简单的HTTP的GET请求，我们就可以关闭telnet端口的屏蔽！！！

通过发送以下命令，我们可以重新激活屏蔽：

接下来，我们需要找出登录凭证，使得我们可以通过telnet登录。让我们对“/bin/telnetd”文件逆向看看：

OK！这里面似乎有硬编码登入凭证“root/admin”和“root/huigu309”，并提供了shell功能：

接着，我在ssh服务中也发现了硬编码的root帐户。

在Web接口中的缓冲区溢出

现在我们可以访问路由器的控制台了，是时候找找某些不安全的C函数了。我们可以通过跟踪用户的HTTP请求的处理流程来进行观察。对于缓冲区溢出，我们都知道以下这个函数功能：

原本的功能是将字符串复制到目标数组中。但是，由于这个函数不会检查缓冲区长度，就有可能会触发缓存区溢出。

让我们看一看和HTTP相关的用来处理“usb_Form”的子程序：

在IDA Pro中，我们可以看到许多参数都存在问题：“ftpusername”、“ftppassword1”、“ftpdirname”、“clientusername”、“clientpassword”、“urlbody”、“webdir”。用户通过HTTP请求提交的输入直接由strcpy函数复制，并不会安全检查。

让我们通过curl命令来触发DoS漏洞，强制GPON设备重新启动：

为了更好的利用这一漏洞，我们最好需要绕过身份验证。

我对“WebMgr”二进制文件进行了不同安全级别的检查，希望找到最简单的利用方法，写一个最完美的PoC：

因此，我在GPON路由器上启用了ASLR防护。当然，这并不影响我们攻击堆。如果我们可以找到存储在堆上的位置，就可以通过修改“pc”寄存器修改跳转到指定位置，触发shellcode。嗯，似乎很有希望：

最后，我得到了以下PoC，通过触发堆中存储的shellcode，成功绕过了ASLR，开启一个“tftpd”服务：

https://github.com/tenable/poc/blob/master/gpon/nokia_a-l_i-240w-q/gpon_poc_cve-2019-3921.py

利用如下：

结论

在互联网世界中，路由器是网络上最重要的设备。而家庭路由器更是唯一将我们的私人网络与互联网分开的边界设备。这个闪烁的小盒子可以防御外部大量的渗透攻击。为了维护这个边界设备，路由器的固件和硬件都需要不断升级和改进。对于现在的攻击者来说，过时的旧设备是最好的攻击方向。

根据Cyber-ITL研究人员的最新研究，大多数路由器都很不安全。不幸的是，Alcatel-Lucent I-240W-Q gpon家庭网关也是如此。由于缺乏安全功能，再加上糟糕的代码，使得攻击者可完全控制设备。

我们已经按照漏洞披露政策向产品的安全团队报告了漏洞，他们已经发布了安全补丁。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://medium.com/tenable-techblog/gpon-home-gateway-rce-threatens-tens-of-thousands-users-c4a17fd25b97