Sikkerhedsforskere fra Lyrebirds
Problemet er forårsaget af et bufferoverløb i en tjeneste, der giver adgang til spektrumanalysatordata, som giver operatører mulighed for at diagnosticere problemer og tage højde for interferensniveauet på kabelforbindelser. Tjenesten behandler anmodninger via jsonrpc og accepterer kun forbindelser på det interne netværk. Udnyttelse af sårbarheden i tjenesten var mulig på grund af to faktorer - tjenesten var ikke beskyttet mod brug af teknologi "
"DNS rebinding"-teknikken tillader, når en bruger åbner en bestemt side i en browser, at etablere en WebSocket-forbindelse med en netværkstjeneste på det interne netværk, som ikke er tilgængelig for direkte adgang via internettet. For at omgå browserbeskyttelse mod at forlade omfanget af det aktuelle domæne (
Når først en angriber er i stand til at sende en anmodning til modemmet, kan han udnytte et bufferoverløb i spektrumanalysatorhandleren, som gør det muligt at udføre kode med root-rettigheder på firmwareniveau. Herefter får angriberen fuld kontrol over enheden, hvilket giver ham mulighed for at ændre alle indstillinger (for eksempel ændre DNS-svar via DNS-omdirigering til sin server), deaktivere firmwareopdateringer, ændre firmwaren, omdirigere trafik eller kile ind i netværksforbindelser ( MiTM).
Sårbarheden findes i standard Broadcom-processoren, som bruges i firmwaren til kabelmodemmer fra forskellige producenter. Ved parsing af anmodninger i JSON-format via WebSocket, på grund af ukorrekt datavalidering, kan halen af parametrene specificeret i anmodningen skrives til et område uden for den allokerede buffer og overskrive en del af stakken, inklusive returadressen og gemte registerværdier.
I øjeblikket er sårbarheden blevet bekræftet i følgende enheder, der var tilgængelige til undersøgelse under forskningen:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfbræt SB8200.
Kilde: opennet.ru