Lyrebirds-dən təhlükəsizlik tədqiqatçıları haqqında məlumat () cihaz üzərində tam nəzarət etməyə imkan verən Broadcom çiplərinə əsaslanan kabel modemlərində. Tədqiqatçıların fikrincə, Avropada müxtəlif kabel operatorları tərəfindən istifadə edilən təxminən 200 milyon cihaz problemdən təsirlənir. Modeminizi yoxlamaq üçün hazırlanmışdır , problemli xidmətin, eləcə də işçinin fəaliyyətini qiymətləndirən istifadəçinin brauzerində xüsusi hazırlanmış səhifə açıldıqda hücum etmək.
Problem, operatorlara problemlərin diaqnostikasını aparmağa və kabel birləşmələrində müdaxilə səviyyəsini nəzərə almağa imkan verən spektr analizator məlumatlarına çıxışı təmin edən xidmətdə buferin daşması ilə əlaqədardır. Xidmət jsonrpc vasitəsilə sorğuları emal edir və yalnız daxili şəbəkədə əlaqələri qəbul edir. Xidmətdəki zəiflikdən istifadə iki amil sayəsində mümkün olub - xidmət texnologiyanın istifadəsindən qorunmayıb ""WebSocket-dən düzgün istifadə edilməməsi və əksər hallarda model seriyasının bütün cihazları üçün ümumi olan əvvəlcədən müəyyən edilmiş mühəndis parolu əsasında giriş təmin edilməsi səbəbindən (spektr analizatoru öz şəbəkə portunda (adətən 8080 və ya 6080) ayrıca xidmətdir). administrator veb interfeysindən parol ilə üst-üstə düşməyən mühəndislik giriş parolu).
“DNS rebinding” texnikası istifadəçiyə brauzerdə müəyyən bir səhifə açdıqda, İnternet vasitəsilə birbaşa çıxış üçün əlçatan olmayan daxili şəbəkədə şəbəkə xidməti ilə WebSocket əlaqəsi yaratmağa imkan verir. Cari domenin əhatə dairəsini tərk etməyə qarşı brauzerin qorunmasını keçmək üçün () DNS-də host adının dəyişdirilməsi tətbiq edilir - təcavüzkarların DNS serveri iki IP ünvanını bir-bir göndərmək üçün konfiqurasiya edilir: birinci sorğu səhifə ilə serverin real İP-sinə, sonra isə serverin daxili ünvanına göndərilir. cihaz qaytarılır (məsələn, 192.168.10.1). İlk cavab üçün yaşamaq vaxtı (TTL) minimum dəyərə təyin edilir, buna görə də səhifəni açarkən brauzer təcavüzkarın serverinin real IP-sini müəyyən edir və səhifənin məzmununu yükləyir. Səhifə TTL-nin müddətinin bitməsini gözləyən JavaScript kodunu işlədir və ikinci sorğu göndərir ki, bu da indi hostu 192.168.10.1 kimi müəyyən edir ki, bu da JavaScript-in mənşəli məhdudiyyəti keçərək yerli şəbəkə daxilində xidmətə daxil olmasına imkan verir.
Modemə sorğu göndərə bildikdən sonra təcavüzkar spektr analizatorunun işləyicisində bufer daşmasından istifadə edə bilər ki, bu da kodun proqram təminatı səviyyəsində kök imtiyazları ilə icrasına imkan verir. Bundan sonra təcavüzkar ona hər hansı parametrləri dəyişdirməyə (məsələn, DNS-in yönləndirilməsi vasitəsilə DNS cavablarını dəyişdirməyə), proqram təminatı yeniləmələrini söndürməyə, mikroproqramı dəyişdirməyə, trafiki yönləndirməyə və ya şəbəkə bağlantılarına yapışdırmağa imkan verən cihaz üzərində tam nəzarət əldə edir ( MiTM).
Zəiflik müxtəlif istehsalçıların kabel modemlərinin proqram təminatında istifadə edilən standart Broadcom prosessorunda mövcuddur. WebSocket vasitəsilə JSON formatında sorğuları təhlil edərkən, məlumatların düzgün yoxlanması səbəbindən sorğuda göstərilən parametrlərin quyruğu ayrılmış buferdən kənar sahəyə yazıla və qayıdış ünvanı və saxlanmış registr dəyərləri daxil olmaqla yığının bir hissəsinin üzərinə yazıla bilər.
Hazırda zəiflik tədqiqat zamanı öyrənilmək üçün mövcud olan aşağıdakı cihazlarda təsdiqlənib:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Sörf lövhəsi SB8200.
Mənbə: opennet.ru