Investigadores de seguridad de Lyrebirds Información sobre () en módems de cable basados en chips Broadcom, lo que permite un control total sobre el dispositivo. Según los investigadores, alrededor de 200 millones de dispositivos en Europa, utilizados por diferentes operadores de cable, se ven afectados por el problema. Preparado para comprobar tu módem , que evalúa la actividad del servicio problemático, así como del trabajador llevar a cabo un ataque cuando se abre una página especialmente diseñada en el navegador del usuario.
El problema se debe a un desbordamiento del buffer en un servicio que proporciona acceso a los datos del analizador de espectro, lo que permite a los operadores diagnosticar problemas y tener en cuenta el nivel de interferencia en las conexiones de cable. El servicio procesa solicitudes a través de jsonrpc y acepta conexiones solo en la red interna. La explotación de la vulnerabilidad en el servicio fue posible debido a dos factores: el servicio no estaba protegido contra el uso de tecnología ""debido al uso incorrecto de WebSocket y en la mayoría de los casos se proporcionó acceso basado en una contraseña de ingeniería predefinida, común a todos los dispositivos de la serie de modelos (el analizador de espectro es un servicio separado en su propio puerto de red (generalmente 8080 o 6080) con su propio contraseña de acceso de ingeniería, que no se superpone con una contraseña de la interfaz web del administrador).
La técnica de “rebinding DNS” permite, cuando un usuario abre una determinada página en un navegador, establecer una conexión WebSocket con un servicio de red en la red interna al que no se puede acceder directamente a través de Internet. Para omitir la protección del navegador contra salir del alcance del dominio actual () se aplica un cambio del nombre de host en DNS: el servidor DNS de los atacantes está configurado para enviar dos direcciones IP una por una: la primera solicitud se envía a la IP real del servidor con la página, y luego a la dirección interna de se devuelve el dispositivo (por ejemplo, 192.168.10.1). El tiempo de vida (TTL) para la primera respuesta se establece en un valor mínimo, por lo que al abrir la página, el navegador determina la IP real del servidor del atacante y carga el contenido de la página. La página ejecuta código JavaScript que espera a que caduque el TTL y envía una segunda solicitud, que ahora identifica el host como 192.168.10.1, lo que permite a JavaScript acceder al servicio dentro de la red local, evitando la restricción de origen cruzado.
Una vez que puede enviar una solicitud al módem, un atacante puede aprovechar un desbordamiento del búfer en el controlador del analizador de espectro, lo que permite que el código se ejecute con privilegios de root en el nivel de firmware. Después de esto, el atacante obtiene control total sobre el dispositivo, lo que le permite cambiar cualquier configuración (por ejemplo, cambiar las respuestas de DNS mediante la redirección de DNS a su servidor), deshabilitar las actualizaciones de firmware, cambiar el firmware, redirigir el tráfico o intervenir en las conexiones de red ( MiTM).
La vulnerabilidad está presente en el procesador Broadcom estándar, que se utiliza en el firmware de módems por cable de varios fabricantes. Al analizar solicitudes en formato JSON a través de WebSocket, debido a una validación de datos incorrecta, la cola de los parámetros especificados en la solicitud se puede escribir en un área fuera del búfer asignado y sobrescribir parte de la pila, incluida la dirección de retorno y los valores de registro guardados.
Actualmente, la vulnerabilidad ha sido confirmada en los siguientes dispositivos que estuvieron disponibles para estudio durante la investigación:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Tabla de surf SB8200.
Fuente: opennet.ru