Даследчыкі бяспекі з кампаніі Lyrebirds
Праблема выклікана перапаўненнем буфера ў сэрвісе, які прадстаўляе доступ да дадзеных спектральнага аналізатара, які дазваляе аператарам дыягнаставаць праблемы і ўлічваць узровень перашкод пры кабельным падключэнні. Сэрвіс апрацоўвае запыты праз jsonrpc і прымае злучэнні толькі ва ўнутранай сетцы. Эксплуатацыя ўразлівасці ў сэрвісе апынулася магчымая дзякуючы двум фактарам - сэрвіс не быў абаронены ад ужывання тэхнікі.
Тэхніка «DNS rebinding» дазваляе пры адкрыцці карыстачом вызначанай старонкі ў браўзэры ўсталяваць WebSocket-злучэнне з сеткавым сэрвісам ва ўнутранай сетцы, недаступным для прамога звароту праз інтэрнэт. Для абыходу прымяняецца ў браўзэрах абароны ад выхаду за межы вобласці бягучага дамена (
Пасля атрымання магчымасці адпраўкі запыту да мадэма, атакавалы можа эксплуатаваць перапаўненне буфера ў апрацоўшчыку спектральнага аналізатара, якое дазваляе дамагчыся выкананні кода з правамі root на ўзроўні прашыўкі. Пасля гэтага атакавалы атрымлівае поўны кантроль над прыладай, які дазваляе змяніць любыя налады (напрыклад, падмяняць DNS-адказы праз перанакіраванне DNS на свой сервер), адключыць абнаўленне прашыўкі, падмяніць прашыўку, перанакіраваць трафік ці ўклінавацца ў сеткавыя злучэнні (MiTM).
Уразлівасць прысутнічае ў тыпавым апрацоўшчыку Broadcom, які выкарыстоўваецца ў прашыўках кабельных мадэмаў розных вытворцаў. У працэсе разбору паступаючых праз WebSocket запытаў у фармаце JSON, з-за неналежнай праверкі дадзеных хвост паказаных у запыце параметраў можа быць запісаны ў вобласць за межамі вылучанага буфера і перапісаць частку стэка, у тым ліку, адрас звароту і захаваныя значэнні рэгістраў.
У наш час уразлівасць пацверджана ў наступных прыладах, якія былі даступныя для вывучэння падчас даследаванняў:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfboard SB8200.
Крыніца: opennet.ru