Sikkerhedsforskere fra Lyrebirds information om () i kabelmodemmer baseret på Broadcom-chips, hvilket giver fuld kontrol over enheden. Ifølge forskere er omkring 200 millioner enheder i Europa, der bruges af forskellige kabeloperatører, berørt af problemet. Klar til at tjekke dit modem , som evaluerer den problematiske tjenestes aktivitet, såvel som arbejderen at udføre et angreb, når en specialdesignet side åbnes i brugerens browser.
Problemet er forårsaget af et bufferoverløb i en tjeneste, der giver adgang til spektrumanalysatordata, som giver operatører mulighed for at diagnosticere problemer og tage højde for interferensniveauet på kabelforbindelser. Tjenesten behandler anmodninger via jsonrpc og accepterer kun forbindelser på det interne netværk. Udnyttelse af sårbarheden i tjenesten var mulig på grund af to faktorer - tjenesten var ikke beskyttet mod brug af teknologi ""på grund af forkert brug af WebSocket og i de fleste tilfælde givet adgang baseret på et foruddefineret ingeniørkodeord, der er fælles for alle enheder i modelserien (spektrumanalysatoren er en separat tjeneste på sin egen netværksport (normalt 8080 eller 6080) med sin egen ingeniøradgangsadgangskode, som ikke overlapper med en adgangskode fra administratorens webgrænseflade).
"DNS rebinding"-teknikken tillader, når en bruger åbner en bestemt side i en browser, at etablere en WebSocket-forbindelse med en netværkstjeneste på det interne netværk, som ikke er tilgængelig for direkte adgang via internettet. For at omgå browserbeskyttelse mod at forlade omfanget af det aktuelle domæne () en ændring af værtsnavnet i DNS anvendes - angriberens DNS-server er konfigureret til at sende to IP-adresser én efter én: den første anmodning sendes til den rigtige IP på serveren med siden, og derefter den interne adresse på enheden returneres (f.eks. 192.168.10.1). Time to live (TTL) for det første svar er sat til en minimumsværdi, så når du åbner siden, bestemmer browseren den rigtige IP på angriberens server og indlæser indholdet af siden. Siden kører JavaScript-kode, der venter på, at TTL'en udløber, og sender en anden anmodning, som nu identificerer værten som 192.168.10.1, hvilket tillader JavaScript at få adgang til tjenesten inden for det lokale netværk, uden at krydsoprindelsesbegrænsningen.
Når først en angriber er i stand til at sende en anmodning til modemmet, kan han udnytte et bufferoverløb i spektrumanalysatorhandleren, som gør det muligt at udføre kode med root-rettigheder på firmwareniveau. Herefter får angriberen fuld kontrol over enheden, hvilket giver ham mulighed for at ændre alle indstillinger (for eksempel ændre DNS-svar via DNS-omdirigering til sin server), deaktivere firmwareopdateringer, ændre firmwaren, omdirigere trafik eller kile ind i netværksforbindelser ( MiTM).
Sårbarheden findes i standard Broadcom-processoren, som bruges i firmwaren til kabelmodemmer fra forskellige producenter. Ved parsing af anmodninger i JSON-format via WebSocket, på grund af ukorrekt datavalidering, kan halen af parametrene specificeret i anmodningen skrives til et område uden for den allokerede buffer og overskrive en del af stakken, inklusive returadressen og gemte registerværdier.
I øjeblikket er sårbarheden blevet bekræftet i følgende enheder, der var tilgængelige til undersøgelse under forskningen:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfbræt SB8200.
Kilde: opennet.ru