Bezpečnostní výzkumníci z Lyrebirds informace o () v kabelových modemech založených na čipech Broadcom, které umožňují plnou kontrolu nad zařízením. Podle výzkumníků je tímto problémem postiženo asi 200 milionů zařízení v Evropě, které používají různí kabeloví operátoři. Připraveno ke kontrole modemu , která hodnotí činnost problematické služby, ale i pracovníka provést útok při otevření speciálně navržené stránky v prohlížeči uživatele.
Problém je způsoben přetečením vyrovnávací paměti ve službě, která poskytuje přístup k datům spektrálního analyzátoru, což operátorům umožňuje diagnostikovat problémy a zohledňovat úroveň rušení na kabelových spojích. Služba zpracovává požadavky přes jsonrpc a přijímá připojení pouze v interní síti. Zneužití zranitelnosti ve službě bylo možné díky dvěma faktorům – služba nebyla chráněna před použitím technologie “"z důvodu nesprávného použití WebSocket a ve většině případů poskytnutého přístupu na základě předdefinovaného inženýrského hesla, společného pro všechna zařízení modelové řady (analyzátor spektra je samostatná služba na vlastním síťovém portu (obvykle 8080 nebo 6080) s vlastním inženýrské přístupové heslo, které se nepřekrývá s heslem z administrátorského webového rozhraní).
Technika „DNS rebinding“ umožňuje, když uživatel otevře určitou stránku v prohlížeči, navázat spojení WebSocket se síťovou službou v interní síti, která není přístupná pro přímý přístup přes internet. Chcete-li obejít ochranu prohlížeče proti opuštění rozsahu aktuální domény () použije se změna názvu hostitele v DNS - DNS server útočníků je nakonfigurován tak, aby posílal dvě IP adresy jednu po druhé: první požadavek je odeslán na skutečnou IP serveru se stránkou a poté na interní adresu zařízení je vráceno (například 192.168.10.1). Doba trvání (TTL) pro první odpověď je nastavena na minimální hodnotu, takže při otevření stránky prohlížeč určí skutečnou IP serveru útočníka a načte obsah stránky. Stránka spouští kód JavaScript, který čeká na vypršení platnosti TTL a odešle druhý požadavek, který nyní identifikuje hostitele jako 192.168.10.1, což umožňuje JavaScriptu přístup ke službě v rámci místní sítě a obchází omezení mezi původy.
Jakmile je útočník schopen odeslat požadavek do modemu, může zneužít přetečení vyrovnávací paměti v obslužném programu spektrálního analyzátoru, který umožňuje spouštění kódu s právy root na úrovni firmwaru. Poté útočník získá plnou kontrolu nad zařízením, což mu umožní měnit libovolná nastavení (například měnit odpovědi DNS přes přesměrování DNS na svůj server), deaktivovat aktualizace firmwaru, změnit firmware, přesměrovat provoz nebo se vklínit do síťových připojení (MiTM ).
Chyba zabezpečení je přítomna ve standardním procesoru Broadcom, který se používá ve firmwaru kabelových modemů od různých výrobců. Při analýze požadavků ve formátu JSON přes WebSocket může být kvůli nesprávné validaci dat konec parametrů uvedených v požadavku zapsán do oblasti mimo přidělenou vyrovnávací paměť a přepsat část zásobníku, včetně návratové adresy a uložených hodnot registrů.
V současné době byla zranitelnost potvrzena v následujících zařízeních, která byla během výzkumu k dispozici pro studium:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfovací prkno SB8200.
Zdroj: opennet.ru