CVE-2018-10561

Dasan Gigabit Passive Optical Network (GPON) Routers

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-31

Официальное описание

Dasan GPON Routers contain an authentication bypass vulnerability. When combined with CVE-2018-10562, exploitation can allow an attacker to perform remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2018-10561) позволяет злоумышленнику обойти механизм аутентификации на маршрутизаторах Dasan GPON, обратившись к определенному URL (/GponForm/diag_Form). В сочетании с уязвимостью CVE-2018-10562 (исполнение команд) это дает возможность удаленного выполнения кода (RCE) без знания учетных данных.

Как исправить

Основное решение — обновить прошивку маршрутизатора. Обратитесь к вендору (Dasan Networks) для получения исправленной версии прошивки для вашей конкретной модели устройства. Общедоступных патчей через системы управления пакетами (apt, yum) не существует, так как это встраиваемое устройство.

  1. Определите модель и текущую версию прошивки. Обычно это можно сделать в веб-интерфейсе администратора в разделе "Status", "System Information" или аналогичном.
  2. Посетите официальный сайт поддержки Dasan Networks и найдите раздел с загрузками (Downloads) или исправлениями безопасности (Security Advisories).
  3. Загрузите последнюю версию прошивки, в описании которой указано исправление CVE-2018-10561 и CVE-2018-10562.
  4. Установите обновление через веб-интерфейс администратора (раздел "Management", "Firmware Upgrade").

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте доступ к веб-интерфейсу администратора:

    • Настройте брандмауэр на маршрутизаторе или вышестоящем сетевом устройстве, чтобы разрешить доступ к порту веб-интерфейса (обычно TCP/80 и TCP/443) только с доверенных IP-адресов (например, из сети управления).
    • Если функция не требуется, полностью отключите доступ к веб-интерфейсу из внешней сети (WAN).

  2. Используйте сетевые средства защиты:

    • Разместите устройство за межсетевым экраном (NGFW) или WAF, который может блокировать запросы, содержащие пути, связанные с уязвимостью (например, /GponForm/diag_Form).
    • Пример правила для iptables на шлюзе (блокирует HTTP-запрос к уязвимому endpoint): bash iptables -A FORWARD -p tcp --dport 80 -m string --string "/GponForm/diag_Form" --algo bm -j DROP

  3. Смените учетные данные по умолчанию. Убедитесь, что пароль администратора устройства является сложным и уникальным, даже несмотря на наличие уязвимости обхода аутентификации.

Важно: Временные меры не устраняют уязвимость. Обновление прошивки — обязательный и единственный полноценный способ устранения проблемы.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей