Sicherheitsforscher von Lyrebirds Information über () in Kabelmodems, die auf Broadcom-Chips basieren und die vollständige Kontrolle über das Gerät ermöglichen. Forschern zufolge sind in Europa etwa 200 Millionen Geräte verschiedener Kabelnetzbetreiber von dem Problem betroffen. Bereit, Ihr Modem zu überprüfen , das die Aktivität des problematischen Dienstes sowie des Arbeitnehmers bewertet um einen Angriff durchzuführen, wenn eine speziell gestaltete Seite im Browser des Benutzers geöffnet wird.
Das Problem wird durch einen Pufferüberlauf in einem Dienst verursacht, der Zugriff auf Spektrumanalysatordaten bietet, was es Betreibern ermöglicht, Probleme zu diagnostizieren und den Grad der Interferenz auf Kabelverbindungen zu berücksichtigen. Der Dienst verarbeitet Anfragen über jsonrpc und akzeptiert Verbindungen nur im internen Netzwerk. Die Ausnutzung der Schwachstelle im Dienst war aus zwei Gründen möglich: Der Dienst war nicht vor dem Einsatz von Technologie geschützt.„Aufgrund der fehlerhaften Verwendung von WebSocket und des in den meisten Fällen bereitgestellten Zugriffs auf der Grundlage eines vordefinierten Engineering-Passworts, das allen Geräten der Modellreihe gemeinsam ist (der Spektrumanalysator ist ein separater Dienst an einem eigenen Netzwerkport (normalerweise 8080 oder 6080) mit eigenem (Passwort für den technischen Zugang, das sich nicht mit einem Passwort aus der Administrator-Weboberfläche überschneidet).
Die „DNS-Rebinding“-Technik ermöglicht es, wenn ein Benutzer eine bestimmte Seite in einem Browser öffnet, eine WebSocket-Verbindung mit einem Netzwerkdienst im internen Netzwerk herzustellen, der für den direkten Zugriff über das Internet nicht zugänglich ist. Um den Browserschutz vor dem Verlassen des Bereichs der aktuellen Domäne zu umgehen () wird eine Änderung des Hostnamens im DNS angewendet – der DNS-Server des Angreifers ist so konfiguriert, dass er zwei IP-Adressen nacheinander sendet: Die erste Anfrage wird an die echte IP des Servers mit der Seite gesendet und dann an die interne Adresse von Das Gerät wird zurückgegeben (z. B. 192.168.10.1). Die Time to Live (TTL) für die erste Antwort ist auf einen Mindestwert eingestellt, sodass der Browser beim Öffnen der Seite die tatsächliche IP des Servers des Angreifers ermittelt und den Inhalt der Seite lädt. Die Seite führt JavaScript-Code aus, der auf den Ablauf der TTL wartet und eine zweite Anfrage sendet, die nun den Host als 192.168.10.1 identifiziert, wodurch JavaScript unter Umgehung der Cross-Origin-Beschränkung auf den Dienst im lokalen Netzwerk zugreifen kann.
Sobald ein Angreifer eine Anfrage an das Modem senden kann, kann er einen Pufferüberlauf im Spektrumanalysator-Handler ausnutzen, der es ermöglicht, Code mit Root-Rechten auf Firmware-Ebene auszuführen. Danach erlangt der Angreifer die volle Kontrolle über das Gerät und kann alle Einstellungen ändern (z. B. DNS-Antworten durch DNS-Umleitung an seinen Server ändern), Firmware-Updates deaktivieren, die Firmware ändern, Datenverkehr umleiten oder sich in Netzwerkverbindungen einschleichen (MiTM). ).
Die Schwachstelle liegt im Standard-Broadcom-Prozessor vor, der in der Firmware von Kabelmodems verschiedener Hersteller verwendet wird. Beim Parsen von Anfragen im JSON-Format über WebSocket kann es aufgrund einer unsachgemäßen Datenvalidierung dazu kommen, dass das Ende der in der Anfrage angegebenen Parameter in einen Bereich außerhalb des zugewiesenen Puffers geschrieben wird und einen Teil des Stapels überschreibt, einschließlich der Rücksprungadresse und der gespeicherten Registerwerte.
Derzeit wurde die Sicherheitslücke in den folgenden Geräten bestätigt, die während der Untersuchung zur Untersuchung zur Verfügung standen:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfbrett SB8200.
Source: opennet.ru