GPON-шлюз — «дыра» в безопасности домашней сети

В мае 2018 года vpnMentor опубликовали в своем блоге две проблемы, объединив которые можно скомпрометировать домашние GPON-маршрутизаторы. В первом случае была обнаружена возможность обхода аутентификации, во втором — исполнение команд средствами самого маршрутизатора и получение результатов. Опубликованные результаты сразу привлекли к себе внимание и были взяты на вооружение различными крупными бот-сетями (Mettle, Muhstick, Mirai, Hajime, Satori).

Спустя почти год, 28 февраля 2019 года Artem Metla разместил статью в блоге medium.com. Автор провел исследование пользовательских GPON-маршрутизаторов и поднимает вопрос об их безопасности.

Он не стал ограничиваться исследованиями vpnMentor по оборудованию Dasan GPON и углубился в статистику сервисов Shodan и ZoomEye. Результат поразителен: как минимум пять поставщиков оборудования производят потенциально уязвимые GPON Optical Network Terminal и это оборудование распространено по всему миру. Акцент нужно сделать на том, что GPON-шлюзы распространяются операторами связи (ISP) среди конечных пользователей для непосредственного доступа в Интернет.

В чем первопричина? Несмотря на то что оборудование производится несколькими независимыми поставщиками, они используют аналогичные прошивки, внося изменения по своему усмотрению, либо ориентированные на конкретных провайдеров. Однако ядро управляющей операционной системы в большинстве случаев остается неизменным. Автор косвенно подтверждает это листингом корневой веб-директории трех разных маршрутизаторов (рисунок 1).

GPON-шлюз — «дыра» в безопасности домашней сети
Рисунок 1. Листинг веб-директорий

Обновления прошивки домашних GPON-шлюзов не распространяется через сайты производителя. Зачастую обновления выполняются средствами провайдера либо не выполняются вовсе.

Для непосредственного анализа Artem Metla купил на Ebay шлюз GPON I-240W-Q производства Alcatel-Lucent на базе процессора ARM. Сканирование портов показало, что кроме веб-интерфейса маршрутизатор предоставляет удаленный доступ средствами SSH и Telnet.

После получения доступа к бинарному файлу WebMgr и проведения его реверс-инжиниринга были получены параметры GET-запроса для отключения и включения брандмауэра. Демонстрация отключения межсетевого экрана и проверка результата последующим сканированием показана на рисунке 2.

GPON-шлюз — «дыра» в безопасности домашней сети
Рисунок 2. Отключение межсетевого экрана и проверка

Реверс инжиниринг Telnet-службы показал, что в исполняемый файл жестко прописаны пара логин/пароль.

GPON-шлюз — «дыра» в безопасности домашней сети

Эти же учетные данные актуальны и для доступа по SSH-протоколу.

Благодаря собранным данным, автор разрабатывает и внедряет эксплойт, который впоследствии исполняется.

Кто виноват?

Распространение оборудования с критической уязвимостью нулевого дня достигает масштабов катастрофы. Как видно из проделанного анализа, вина в этом лежит на производителе, на операторе связи, а также на клиенте.

Вина производителя в том, что поддержка целых линеек оборудования достаточно быстро прекращается, следовательно, не выпускается обновление для программного обеспечения. Как итог, в пользовании у клиентов находится очень много потенциально небезопасного оборудования.

Вина провайдера, является основной, так как он непосредственно предоставляет доступ в сеть для данных устройств и не обеспечивает должную защиту. Многие провайдеры используют NAT для для экономии IP-адресов, что обеспечивает определенную защиту от взлома оконечных устройств. А если пользователю все же будет необходим доступ к домашней сети «извне», то предоставляется статический «белый» IP-адрес, здесь также помогает технология Dual Stack IPv4/IPv6. Но как только есть прямой доступ оператор должен позаботиться о соответствующем уровне безопасности для устройств клиента.

Вина пользователей в том, что программное обеспечение домашних маршрутизаторов, как уже было сказано ранее, обновляется крайне редко либо не обновляется вовсе. В дополнение к этому неправильная настройка оборудования — доступность конфигурационного интерфейса на внешнем интерфейсе, небезопасные пароли вида «qwerty» или «123456», незащищенные сети Wi-Fi.

Как с этим бороться и надо ли?

Бороться с производителями бессмысленно, а 99% пользователей не поймут, о какой «магии» идет речь. По этой причине решать проблему будут провайдеры.

Несмотря на то что в приведенном выше исследовании автор производил попытки взлома из Интранета (внутренней сети), так как сборка полноценного тестового GPON стенда стоила бы дорого, угроза взлома оборудования исходит из глобальной сети. Сегодня рынок готов предложить множество решений для операторов связи. Компания VAS Experts предлагает мини-Firewall. Легковесное и простое в настройке решение, вся подробная информация доступна по ссылке.

Цель взлома клиентских точек не в том, чтобы обслуживающий персонал провайдера приехал и заменил оборудование, а в том, чтобы создать элемент бот-сети. Возвращаясь к вопросу, надо ли с этим бороться, ответим: надо!

Во-первых, я не знаю ни одной организации, которая хотела бы стать элементом бот-сети на добровольной основе. Во-вторых, запросы правоохранительных органов в отношении подозрительных действий из вашей сети в конечном счете укажут на клиента, который и понятия не имеет, чем занимался его маршрутизатор.