Turvauurijad Lyrebirdsist kohta teavet () Broadcomi kiipidel põhinevates kaabelmodemites, võimaldades seadme üle täielikku kontrolli. Teadlaste sõnul mõjutab probleem Euroopas umbes 200 miljonit seadet, mida kasutavad erinevad kaabellevioperaatorid. Valmis modemit kontrollima , mis hindab nii probleemse teenuse kui ka töötaja tegevust rünnaku läbiviimiseks, kui kasutaja brauseris avatakse spetsiaalselt loodud leht.
Probleemi põhjustab puhvri ületäitumine teenuses, mis pakub juurdepääsu spektrianalüsaatori andmetele, mis võimaldab operaatoritel probleeme diagnoosida ja võtta arvesse kaabliühenduste häirete taset. Teenus töötleb päringuid jsonrpc kaudu ja aktsepteerib ühendusi ainult sisevõrgus. Teenuse haavatavuse ärakasutamine oli võimalik kahe teguri tõttu - teenus ei olnud tehnoloogia kasutamise eest kaitstud ""WebSocketi ebaõige kasutamise ja enamikul juhtudel tagatud juurdepääs etteantud inseneriparooli alusel, mis on ühine kõigile mudeliseeria seadmetele (spektrianalüsaator on eraldi teenus oma võrgupordis (tavaliselt 8080 või 6080), millel on oma inseneri juurdepääsu parool, mis ei kattu administraatori veebiliidese parooliga).
„DNS-i uuesti sidumise“ tehnika võimaldab, kui kasutaja avab brauseris teatud lehe, luua sisevõrgus oleva WebSocket-ühenduse võrguteenusega, millele pole Interneti kaudu otsejuurdepääs. Brauseri kaitsest möödumiseks praeguse domeeni ulatusest lahkumise eest () rakendatakse DNS-is hostinime muudatus - ründajate DNS-server on konfigureeritud saatma ükshaaval kahte IP-aadressi: esimene päring saadetakse koos lehega serveri tegelikule IP-le ja seejärel serveri siseaadress. seade tagastatakse (näiteks 192.168.10.1). Elamisaeg (TTL) esimese vastuse jaoks on seatud minimaalsele väärtusele, seega lehe avamisel määrab brauser ründaja serveri tegeliku IP-aadressi ja laadib lehe sisu. Leht käivitab JavaScripti koodi, mis ootab TTL-i aegumist ja saadab teise päringu, mis identifitseerib nüüd hostiks 192.168.10.1, mis võimaldab JavaScriptil juurdepääsu teenusele kohalikus võrgus, jättes kõrvale ristpäritolu piirangu.
Kui ründaja suudab modemile päringu saata, saab ta ära kasutada spektrianalüsaatori töötleja puhvri ületäitumist, mis võimaldab püsivara tasemel juurõigustega koodi käivitada. Pärast seda saab ründaja seadme üle täieliku kontrolli, võimaldades tal muuta mis tahes sätteid (näiteks muuta DNS-i vastuseid DNS-i serverisse ümbersuunamise kaudu), keelata püsivara värskendused, muuta püsivara, suunata liiklust ümber või kiiluda võrguühendustesse (MiTM). ).
Haavatavus esineb standardses Broadcomi protsessoris, mida kasutatakse erinevate tootjate kaabelmodemite püsivaras. WebSocketi kaudu JSON-vormingus päringute sõelumisel saab andmete ebaõige valideerimise tõttu kirjutada päringus määratud parameetrite saba eraldatud puhvrist väljapoole jäävasse piirkonda ja kirjutada osa pinust üle, sealhulgas tagastusaadressi ja salvestatud registriväärtused.
Praegu on haavatavus kinnitust leidnud järgmistes seadmetes, mis olid uurimistöö käigus saadaval:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfilaud SB8200.
Allikas: opennet.ru