باحثون أمنيون من Lyrebirds معلومات حول () في مودم الكابل المعتمد على شرائح Broadcom، مما يسمح بالتحكم الكامل في الجهاز. ووفقا للباحثين، فإن حوالي 200 مليون جهاز في أوروبا، يستخدمها مشغلو الكابلات المختلفون، يتأثر بهذه المشكلة. على استعداد للتحقق من المودم الخاص بك الذي يقيم نشاط الخدمة الإشكالية وكذلك العامل لتنفيذ هجوم عند فتح صفحة مصممة خصيصًا في متصفح المستخدم.
ترجع المشكلة إلى تجاوز سعة المخزن المؤقت في خدمة توفر الوصول إلى بيانات محلل الطيف، مما يسمح للمشغلين بتشخيص المشكلات ومراعاة مستوى التداخل في توصيلات الكابلات. تعالج الخدمة الطلبات عبر jsonrpc ولا تقبل الاتصالات إلا على الشبكة الداخلية. استغلال الثغرة الأمنية في الخدمة كان ممكنا بسبب عاملين – الخدمة لم تكن محمية من استخدام التكنولوجيا ""بسبب الاستخدام غير الصحيح لـ WebSocket وفي معظم الحالات يتم توفير الوصول بناءً على كلمة مرور هندسية محددة مسبقًا، وهي مشتركة بين جميع أجهزة سلسلة الطراز (محلل الطيف عبارة عن خدمة منفصلة على منفذ الشبكة الخاص به (عادةً 8080 أو 6080) مع منفذ الشبكة الخاص به" كلمة مرور الوصول الهندسي، والتي لا تتداخل مع كلمة المرور من واجهة ويب المسؤول).
تتيح تقنية "إعادة ربط DNS" عندما يفتح المستخدم صفحة معينة في المتصفح، إنشاء اتصال WebSocket مع خدمة شبكة على الشبكة الداخلية لا يمكن الوصول إليها بشكل مباشر عبر الإنترنت. لتجاوز حماية المتصفح من ترك نطاق المجال الحالي () يتم تطبيق تغيير اسم المضيف في DNS - يتم تكوين خادم DNS الخاص بالمهاجمين لإرسال عنواني IP واحدًا تلو الآخر: يتم إرسال الطلب الأول إلى عنوان IP الحقيقي للخادم مع الصفحة، ثم العنوان الداخلي للخادم يتم إرجاع الجهاز (على سبيل المثال، 192.168.10.1). يتم تعيين وقت البقاء (TTL) للاستجابة الأولى على الحد الأدنى من القيمة، لذلك عند فتح الصفحة، يحدد المتصفح عنوان IP الحقيقي لخادم المهاجم ويقوم بتحميل محتويات الصفحة. تقوم الصفحة بتشغيل كود JavaScript الذي ينتظر انتهاء صلاحية TTL وترسل طلبًا ثانيًا، والذي يحدد الآن المضيف على أنه 192.168.10.1، مما يسمح لـ JavaScript بالوصول إلى الخدمة داخل الشبكة المحلية، وتجاوز القيود عبر الأصل.
بمجرد القدرة على إرسال طلب إلى المودم، يمكن للمهاجم استغلال تجاوز سعة المخزن المؤقت في معالج محلل الطيف، مما يسمح بتنفيذ التعليمات البرمجية بامتيازات الجذر على مستوى البرامج الثابتة. بعد ذلك، يكتسب المهاجم السيطرة الكاملة على الجهاز، مما يسمح له بتغيير أي إعدادات (على سبيل المثال، تغيير استجابات DNS عبر إعادة توجيه DNS إلى الخادم الخاص به)، أو تعطيل تحديثات البرامج الثابتة، أو تغيير البرامج الثابتة، أو إعادة توجيه حركة المرور، أو الدخول في اتصالات الشبكة ( ميتم).
الثغرة الأمنية موجودة في معالج Broadcom القياسي، والذي يتم استخدامه في البرامج الثابتة لأجهزة مودم الكابل من مختلف الشركات المصنعة. عند تحليل الطلبات بتنسيق JSON عبر WebSocket، بسبب التحقق غير الصحيح من البيانات، يمكن كتابة ذيل المعلمات المحددة في الطلب في منطقة خارج المخزن المؤقت المخصص والكتابة فوق جزء من المكدس، بما في ذلك عنوان الإرجاع وقيم التسجيل المحفوظة.
حاليًا تم التأكد من الثغرة الأمنية في الأجهزة التالية التي كانت متاحة للدراسة أثناء البحث:
- ساجيمكوم F@st 3890, 3686;
- نتغير CG3700EMR، C6250EMR، CM1000؛
- تكنيكولور TC7230، TC4400؛
- كومبال 7284E، 7486E؛
- لوح التزلج SB8200.
المصدر: opennet.ru