Investigadors de seguretat de Lyrebirds informació sobre () en mòdems per cable basats en xips Broadcom, que permeten un control total sobre el dispositiu. Segons els investigadors, uns 200 milions de dispositius a Europa, utilitzats per diferents operadors de cable, es veuen afectats pel problema. Preparat per comprovar el vostre mòdem , que avalua l'activitat del servei problemàtic, així com del treballador per dur a terme un atac quan s'obre una pàgina especialment dissenyada al navegador de l'usuari.
El problema és causat per un desbordament de memòria intermèdia en un servei que proporciona accés a les dades de l'analitzador d'espectre, la qual cosa permet als operadors diagnosticar problemes i tenir en compte el nivell d'interferència a les connexions de cable. El servei processa les sol·licituds mitjançant jsonrpc i accepta connexions només a la xarxa interna. L'explotació de la vulnerabilitat del servei va ser possible a causa de dos factors: el servei no estava protegit de l'ús de la tecnologia "."a causa d'un ús incorrecte de WebSocket i en la majoria dels casos proporcionat accés basat en una contrasenya d'enginyeria predefinida, comuna a tots els dispositius de la sèrie de models (l'analitzador d'espectre és un servei independent en el seu propi port de xarxa (normalment 8080 o 6080) amb el seu propi contrasenya d'accés d'enginyeria, que no es solapa amb una contrasenya de la interfície web de l'administrador).
La tècnica de “DNS rebinding” permet, quan un usuari obre una determinada pàgina en un navegador, establir una connexió WebSocket amb un servei de xarxa a la xarxa interna que no és accessible per a l'accés directe a través d'Internet. Per evitar la protecció del navegador per deixar l'abast del domini actual () s'aplica un canvi del nom de l'amfitrió al DNS: el servidor DNS dels atacants està configurat per enviar dues adreces IP una per una: la primera sol·licitud s'envia a la IP real del servidor amb la pàgina i després l'adreça interna de es retorna el dispositiu (per exemple, 192.168.10.1). El temps de vida (TTL) per a la primera resposta s'estableix en un valor mínim, de manera que en obrir la pàgina, el navegador determina la IP real del servidor de l'atacant i carrega el contingut de la pàgina. La pàgina executa codi JavaScript que espera que caduqui el TTL i envia una segona sol·licitud, que ara identifica l'amfitrió com a 192.168.10.1, que permet a JavaScript accedir al servei dins de la xarxa local, sense passar per la restricció d'origen creuat.
Un cop capaç d'enviar una sol·licitud al mòdem, un atacant pot explotar un desbordament de memòria intermèdia al controlador de l'analitzador d'espectre, que permet executar codi amb privilegis root a nivell de microprogramari. Després d'això, l'atacant aconsegueix el control total sobre el dispositiu, cosa que li permet canviar qualsevol configuració (per exemple, canviar les respostes DNS mitjançant la redirecció de DNS al seu servidor), desactivar les actualitzacions de microprogramari, canviar el microprogramari, redirigir el trànsit o connectar-se a les connexions de xarxa ( MiTM).
La vulnerabilitat està present al processador Broadcom estàndard, que s'utilitza en el microprogramari dels mòdems per cable de diversos fabricants. Quan s'analitza sol·licituds en format JSON mitjançant WebSocket, a causa d'una validació de dades incorrecta, la cua dels paràmetres especificats a la sol·licitud es pot escriure en una àrea fora de la memòria intermèdia assignada i sobreescriure part de la pila, inclosa l'adreça de retorn i els valors de registre desats.
Actualment, la vulnerabilitat s'ha confirmat en els següents dispositius que estaven disponibles per a l'estudi durant la investigació:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Taula de surf SB8200.
Font: opennet.ru