CVE-2018-10562

Суть уязвимости

Уязвимость (CVE-2018-10562) позволяет злоумышленнику обойти аутентификацию на маршрутизаторах Dasan GPON, обратившись к определенному URL. В сочетании с уязвимостью CVE-2018-10561 это дает возможность выполнить произвольные команды на устройстве с правами администратора.

• Вектор атаки: Удаленный.
• Метод эксплуатации: Отправка специально сформированного HTTP-запроса к интерфейсу управления устройством (например, http://<IP_маршрутизатора>/GponForm/diag_Form?images/).
• Результат: Получение несанкционированного доступа к веб-интерфейсу и, в связке с другой уязвимостью, выполнение кода на маршрутизаторе.

Как исправить

Основной метод — обновление встроенного ПО (прошивки) маршрутизатора до версии, в которой уязвимость устранена.

1. Определите текущую версию прошивки.

   • Войдите в веб-интерфейс маршрутизатора и найдите раздел Status, System Information или Device Info.
   • Запишите точную модель устройства и версию firmware (например, DASAN-GPON-Router V100R001C01B022).

2. Загрузите и установите патч.

   • Обратитесь к вендору (DASAN Network Solutions) или вашему интернет-провайдеру (ISP), который поставил оборудование.
   • Запросите обновленную прошивку, в которой исправлены CVE-2018-10561 и CVE-2018-10562. Для многих моделей требуется версия не ниже V100R001C01B023 или более поздняя из той же ветки.
   • Внимание! Скачивайте прошивку только с официального сайта вендора или от вашего провайдера.

3. Установите обновление.

   • В веб-интерфейсе перейдите в раздел Management, System, Firmware Upgrade или аналогичный.
   • Загрузите полученный файл прошивки и запустите процесс обновления.
   • Важно: Не отключайте питание устройства во время прошивки. Процесс может занять несколько минут.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

1. Ограничьте доступ к интерфейсу управления.

   • Настройте правила брандмауэра на самом маршрутизаторе (если возможно) или на вышестоящем сетевом оборудовании, чтобы разрешить доступ к веб-интерфейсу (порты 80/443/TCP) только с доверенных IP-адресов (например, из сети администратора).
   • Пример правила для iptables на внешнем сервере/шлюзе (если маршрутизатор находится в публичной сети): bash # Разрешить доступ к порту 80 маршрутизатора только с адреса 192.168.1.100 iptables -A FORWARD -p tcp --dport 80 -d <IP_вашего_GPON> -s 192.168.1.100 -j ACCEPT iptables -A FORWARD -p tcp --dport 80 -d <IP_вашего_GPON> -j DROP

2. Измените стандартные учетные данные.

   • Обязательно смените пароль администратора по умолчанию на сложный и уникальный. Это не блокирует саму уязвимость обхода аутентификации, но усложнит эксплуатацию связки уязвимостей.

3. Отключите удаленный доступ (WAN Management).

   • В веб-интерфейсе маршрутизатора найдите раздел Security, Remote Management или WAN Access.
   • Убедитесь, что доступ к веб-интерфейсу из внешней сети (WAN/Internet) отключен. Управление должно осуществляться только из локальной сети (LAN).

4. Используйте сегментацию сети.

   • Поместите маршрутизатор в изолированный VLAN, недоступный для пользовательских устройств и из интернета. Доступ для администрации организуйте через защищенный канал (VPN).