Cable Haunt атака за придобиване на контрол върху кабелните модеми

Изследователи по сигурността от Lyrebirds непокрит информация относно уязвимости (CVE-2019 19494-) в кабелни модеми, базирани на Broadcom чипове, позволяващи пълен контрол над устройството. Според изследователите около 200 милиона устройства в Европа, използвани от различни кабелни оператори, са засегнати от проблема. Готов да провери модема ви сценарий, който оценява дейността на проблемната услуга, както и работника експлоатационен прототип за извършване на атака, когато в браузъра на потребителя се отвори специално създадена страница.

Проблемът е причинен от препълване на буфера в услуга, която предоставя достъп до данните от спектралния анализатор, което позволява на операторите да диагностицират проблемите и да вземат предвид нивото на смущения в кабелните връзки. Услугата обработва заявки чрез jsonrpc и приема връзки само във вътрешната мрежа. Използването на уязвимостта в услугата беше възможно поради два фактора - услугата не беше защитена от използването на технология "DNS повторно свързване"поради неправилно използване на WebSocket и в повечето случаи предоставен достъп въз основа на предварително дефинирана инженерна парола, обща за всички устройства от моделната серия (спектралният анализатор е отделна услуга на собствен мрежов порт (обикновено 8080 или 6080) със собствен парола за инженерен достъп, която не се припокрива с парола от администраторския уеб интерфейс).

Техниката "DNS rebinding" позволява, когато потребител отвори определена страница в браузър, да установи WebSocket връзка с мрежова услуга във вътрешната мрежа, която не е достъпна за директен достъп през Интернет. За да заобиколите защитата на браузъра срещу напускане на обхвата на текущия домейн (кръстосан произход) прилага се промяна на името на хоста в DNS - DNS сървърът на нападателя е конфигуриран да изпраща два IP адреса един по един: първата заявка се изпраща до реалния IP на сървъра със страницата, а след това вътрешния адрес на устройството се връща (например 192.168.10.1). Времето за живот (TTL) за първия отговор е зададено на минимална стойност, така че при отваряне на страницата браузърът определя реалния IP на сървъра на атакуващия и зарежда съдържанието на страницата. Страницата изпълнява JavaScript код, който изчаква TTL да изтече и изпраща втора заявка, която сега идентифицира хоста като 192.168.10.1, което позволява на JavaScript достъп до услугата в рамките на локалната мрежа, заобикаляйки ограничението за кръстосан произход.

След като успее да изпрати заявка до модема, атакуващият може да използва препълване на буфера в манипулатора на спектралния анализатор, което позволява кодът да бъде изпълнен с права на root на ниво фърмуер. След това нападателят придобива пълен контрол над устройството, което му позволява да променя всякакви настройки (например да променя DNS отговорите чрез DNS пренасочване към неговия сървър), да деактивира актуализациите на фърмуера, да променя фърмуера, да пренасочва трафика или да се вмъкне в мрежови връзки ( MiTM).

Уязвимостта присъства в стандартния процесор Broadcom, който се използва във фърмуера на кабелни модеми от различни производители. Когато анализирате заявки във формат JSON чрез WebSocket, поради неправилно валидиране на данни, опашката на параметрите, посочени в заявката, може да бъде записана в област извън разпределения буфер и да презапише част от стека, включително адреса за връщане и запазените стойности на регистъра.

В момента уязвимостта е потвърдена в следните устройства, които са били достъпни за изследване по време на изследването:

• Sagemcom F@st 3890, 3686;
• NETGEAR CG3700EMR, C6250EMR, CM1000 ;
• Technicolor TC7230, TC4400;
• COMPAL 7284E, 7486E;
• Дъска за сърф SB8200.

Източник: opennet.ru