Tenable Research、GPONルーターのリモートコード実行の脆弱性を発見

Tenable Researchはノキア（アルカテル・ルーセント）のI-240W-Q GPONルーターに6つの新たな脆弱性を発見しました。この脆弱性を悪用すると攻撃者はtelnetにアクセスしたり、標的にDoS攻撃を仕掛けたり、任意のコードを実行したりすることが可能になります。

背景

ノキア（アルカテル・ルーセント）のI-240W-Qギガビットパッシブオプティカルネットワーク（GPON）ルーターは、標準の銅線ネットワークに代わるものとして設計されています。これらのルーターはボットネットにとって魅力的なターゲットとなっており、開示から攻撃までの時間はほぼ即時です。

Tenableの研究者であるArtem Metlaは、ノキア（アルカテル・ルーセント）I-240W-Q GPONルーターに6つの新しい脆弱性 (CVE-2019-3917、CVE-2019-3918、CVE-2019-3919、CVE-2019-3920、CVE-2019-3921、CVE-2019-3922)を発見しました。 これらの脆弱性には、リモートからアクセス可能なバックドア、ハードコーディングされた認証情報、コマンドインジェクション、およびスタックバッファオーバーフローが含まれています。

分析

CVE-2019-3917: 特別に細工したHTTPリクエストをデバイスに送信することにより、リモートの攻撃者はファイアウォールを部分的に無効にし、Telnetサービスを外部アクセスに公開する可能性があります。

CVE-2019-3918: ハードコードされたルート資格情報がDropbear（SSH）およびTelnetサービスで発見されました。

CVE-2019-3919、CVE-2019-3920: 認証された攻撃者は悪意のあるHTTP POSTリクエストを利用して、無害化されていないsystem（）呼び出しを利用してrootユーザーとしてシェルコマンドを実行し、ルーターのOSレベルに昇格させることができます。

CVE-2019-3921（認証済み）、CVE-2019-3922 （未認証）：攻撃者は悪意のあるHTTPリクエストを送信して、DoS攻撃や任意のコードの実行を引き起こすスタックバッファオーバーフローを引き起こす可能性があります。CVE-2019-3921の概念実証は、研究者のArtem Metlaにより提供されています。

影響

これらのルーターの1つが危険にさらされた場合、攻撃者はネットワークトラフィックを傍受し、リクエストとレスポンスを変更し、すべての通信をログに記録するために中間者攻撃（MitM）を開始する可能性があります。また、悪意のあるスクリプトをデバイスに配置して、これまで外部の攻撃にさらされたことがない資産に対する攻撃を仕掛ける可能性もあります。侵入されたルーターを他の悪意のあるデバイスと組み合わせて使用し、分散サービス拒否（DDoS）攻撃を仕掛けることもできます。また、これらのデバイスを悪用してマルウェアを拡散させ、さまざまな悪質な用途のためのボットネットを作成することができます。

ソリューション

ノキアはこれらの脆弱性に対する修正に取り組んでいると報告されています。影響を受けていると思われる場合は、詳細についてノキアに問い合わせてください。

詳細情報

Tenable Techブログにアクセスし、これらの脆弱性を発見したArtem Metlaの研究についての詳細情報をご覧ください。

• Tenable Researchアドバイザリー

最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。