网络与信息安全情况通报

　　第55期

　　北京网络与信息安全信息通报中心

　　2018年5月3日

　　关于光纤路由器存在身份验证绕过漏洞和远程命令执行漏洞的预警通报

　　近日,据安全公司披露,GPON公司( Gigabit Passive Optical Network)的光纤路由器被发现普遍存在身份验证绕过漏洞(CVE-2018-10561)和远程命令执行漏洞(CVE-2018-10562)。攻击者可结合利用这两个漏洞,首先通过附加URL参数绕过身份验证,然后通过执行PoC代理就能够对易受攻击的路由器进行远程访问。为此,我中心组织技术支持单位对该情况进行分析,现将具体漏洞情况、影响范围以及网络安全工作提示汇总如下：

　　一、漏洞基本情况

　　CVE-2018-10561漏洞是身份验证绕过漏洞,攻击者可绕过路由器的所有认证进行访问;CVE-2018-10562漏洞是命令注入漏洞,允许攻击者在路由器上执行任意命令;两个漏洞相结合,就可以完全控制路由器,从而进一步控制整个网络。

　　二、影响范围

　　GPON是一种非常流行的使用光纤的无源光网络设备,此类路由器通常是由互联网服务提供商直接提供。据统计,全球至少有超过100万用户(1,054692个GPON路由器台在线暴露)在使用这种类型的路由器。

　　三、网络安全工作提示

　　针对上述情况,请所有通报成员单位立即开展以下几方面工作:一是检查单位是否使用GPON技术;二是关注GPON官方发布的漏洞修复措施,将设备升级到最新版本;三是联系提供网络的服务商对可能存在的问题进行修复;四是及时上报情况,请各单位如有发生网络安全事件及时向网信办报告或直接上报。

　　网信办联系人：张晓华，电话61772580

　　北京网络与信息安全信息通报中心联系人：宋扬,电话:53121239