一个保护Dasan GPON路由器免受远程黑客攻击的简单工具发布

上周，vpnMentor的研究人员披露了，身份验证旁路（CVE-2018-10561）和根远程代码执行漏洞（CVE-2018-10562）和#8212；在许多型号的千兆无源光网络（GPON）路由器中，都是由韩国DASAN Zhone Solutions公司生产的。

如果受到攻击，第一个漏洞使攻击者只需添加？图像/链接到浏览器地址栏中的URL。
然而，当第二个漏洞允许命令注入时，未经验证的攻击者可以在受影响的设备上远程执行恶意命令，并修改DNS设置，最终允许他们远程完全控制设备。

这些漏洞的细节公布后不久，中国IT安全公司奇虎360 Netlab的安全研究人员发现，威胁行为人已开始利用这两个漏洞，将易受攻击的路由器添加到他们的僵尸网络恶意软件网络中。
此外，一名独立的安全研究人员已经在GitHub上发布了一个用python编写的针对GPON路由器漏洞的有效概念验证（PoC）漏洞攻击，最终使得即使是不熟练的黑客也更容易利用该漏洞。

研究人员甚至发布了一段视频演示，展示了攻击是如何进行的。

以下是如何保护您的GPON Wi-Fi路由器

vpnMentor的研究人员已经向Dasan报告了这些问题，但该公司尚未发布任何解决问题的补丁，研究人员认为该补丁也尚未开发。

更糟的是什么？在撰写本文时，互联网上仍有近100万个易受攻击的GPON路由器，很容易被劫持。
然而，即使没有可用的官方补丁，用户也可以通过禁用远程管理和使用防火墙来保护他们的设备，以防止来自公共互联网的外部访问。

对易受攻击的路由器进行这些更改将仅限制对Wi-Fi网络范围内的本地网络的访问，通过消除远程攻击者有效减少攻击面。

如果您不确定这些设置，vpnMentor为您提供了一个在线“用户友好”解决方案，可以代表您自动修改路由器设置，使您远离远程攻击。

研究人员说：“在官方补丁发布之前，它的创建是为了帮助缓解漏洞”。“此工具以一种不容易逆转的方式禁用web服务器，可以使用另一个补丁脚本来完成，但如果您对命令行不满意，我们建议在正式补丁发布之前对您的设备进行防火墙”。

要使用此工具，您只需打开此网页，向下滚动到输入表单，询问公开的GPON路由器的IP地址（本地LAN地址，而不是WAN），这是路由器上SSH/Telnet的新密码。

在另一个选项卡中，使用URL中的https打开路由器的web界面，然后按vpnMentor上的“运行补丁”继续并应用更改。

您可以应用该补丁来保护您的设备，但需要注意的是，它不是制造商提供的官方补丁，我们不鼓励用户在其设备上运行任何第三方脚本或补丁。

因此，用户应该等待官方修复，或者在可能的情况下手动应用更改。