Sekuriteitsnavorsers van Lyrebirds inligting oor () in kabelmodems gebaseer op Broadcom-skyfies, wat volle beheer oor die toestel moontlik maak. Volgens navorsers word sowat 200 miljoen toestelle in Europa, wat deur verskillende kabeloperateurs gebruik word, deur die probleem geraak. Bereid om jou modem na te gaan , wat die aktiwiteit van die problematiese diens, sowel as die werker, evalueer om 'n aanval uit te voer wanneer 'n spesiaal ontwerpte bladsy in die gebruiker se blaaier oopgemaak word.
Die probleem word veroorsaak deur 'n bufferoorloop in 'n diens wat toegang bied tot spektrumontlederdata, wat operateurs in staat stel om probleme te diagnoseer en die vlak van inmenging op kabelverbindings in ag te neem. Die diens verwerk versoeke via jsonrpc en aanvaar slegs verbindings op die interne netwerk. Ontginning van die kwesbaarheid in die diens was moontlik as gevolg van twee faktore - die diens is nie beskerm teen die gebruik van tegnologie nie ""as gevolg van verkeerde gebruik van WebSocket en in die meeste gevalle toegang verskaf gebaseer op 'n voorafbepaalde ingenieurswagwoord, algemeen vir alle toestelle van die modelreeks (die spektrumontleder is 'n aparte diens op sy eie netwerkpoort (gewoonlik 8080 of 6080) met sy eie ingenieurstoegangswagwoord, wat nie oorvleuel met 'n wagwoord vanaf die administrateur-webkoppelvlak nie).
Die "DNS-herbinding"-tegniek laat toe om, wanneer 'n gebruiker 'n sekere bladsy in 'n blaaier oopmaak, 'n WebSocket-verbinding te vestig met 'n netwerkdiens op die interne netwerk wat nie vir direkte toegang via die internet toeganklik is nie. Om blaaierbeskerming te omseil teen die verlaat van die omvang van die huidige domein () 'n verandering van die gasheernaam in DNS word toegepas - die aanvallers se DNS-bediener is gekonfigureer om twee IP-adresse een vir een te stuur: die eerste versoek word na die regte IP van die bediener met die bladsy gestuur, en dan die interne adres van die toestel word teruggestuur (byvoorbeeld 192.168.10.1). Die tyd om te lewe (TTL) vir die eerste reaksie is op 'n minimum waarde gestel, so wanneer die bladsy oopgemaak word, bepaal die blaaier die werklike IP van die aanvaller se bediener en laai die inhoud van die bladsy. Die bladsy loop JavaScript-kode wat wag vir die TTL om te verval en stuur 'n tweede versoek, wat nou die gasheer identifiseer as 192.168.10.1, wat JavaScript toelaat om toegang tot die diens binne die plaaslike netwerk te verkry, en die kruisoorsprongbeperking omseil.
Sodra hy 'n versoek na die modem kan stuur, kan 'n aanvaller 'n bufferoorloop in die spektrumontleder-hanteerder ontgin, wat toelaat dat kode uitgevoer word met wortelvoorregte op die firmwarevlak. Hierna verkry die aanvaller volle beheer oor die toestel, wat hom toelaat om enige instellings te verander (byvoorbeeld, verander DNS-reaksies deur DNS-herleiding na sy bediener), deaktiveer firmware-opdaterings, verander die firmware, herlei verkeer of wig in netwerkverbindings (MiTM) ).
Die kwesbaarheid is teenwoordig in die standaard Broadcom-verwerker, wat gebruik word in die firmware van kabelmodems van verskeie vervaardigers. Wanneer versoeke in JSON-formaat via WebSocket ontleed word, as gevolg van onbehoorlike datavalidering, kan die stert van die parameters wat in die versoek gespesifiseer word na 'n area buite die toegewese buffer geskryf word en 'n deel van die stapel oorskryf, insluitend die terugkeeradres en gestoorde registerwaardes.
Tans is die kwesbaarheid bevestig in die volgende toestelle wat tydens die navorsing beskikbaar was vir studie:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Branderplank SB8200.
Bron: opennet.ru