Turvallisuustutkijat Lyrebirdistä tietoa () Broadcom-siruihin perustuvissa kaapelimodeemeissa, mikä mahdollistaa laitteen täyden hallinnan. Tutkijoiden mukaan ongelma koskee noin 200 miljoonaa eri kaapelioperaattoreiden käyttämää laitetta Euroopassa. Valmiina tarkistamaan modeemi , joka arvioi ongelmallisen palvelun toimintaa sekä työntekijää suorittaa hyökkäyksen, kun käyttäjän selaimessa avataan erityisesti suunniteltu sivu.
Ongelman aiheuttaa puskurin ylivuoto palvelussa, joka tarjoaa pääsyn spektrianalysaattoritietoihin, jolloin operaattorit voivat diagnosoida ongelmia ja ottaa huomioon kaapeliyhteyksien häiriötason. Palvelu käsittelee pyynnöt jsonrpc:n kautta ja hyväksyy yhteydet vain sisäisessä verkossa. Palvelun haavoittuvuuden hyödyntäminen oli mahdollista kahdesta syystä - palvelua ei ollut suojattu tekniikan käytöltä""johtuen WebSocketin virheellisestä käytöstä ja useimmissa tapauksissa ennalta määritetyn suunnittelusalasanan perusteella, joka on yhteinen kaikille mallisarjan laitteille (spektrianalysaattori on erillinen palvelu omassa verkkoportissaan (yleensä 8080 tai 6080), jossa on oma teknisen pääsyn salasana, joka ei ole päällekkäinen järjestelmänvalvojan verkkoliittymän salasanan kanssa).
"DNS-uudelleensidonta" -tekniikka mahdollistaa, kun käyttäjä avaa tietyn sivun selaimessa, muodostaa WebSocket-yhteyden sisäisen verkon verkkopalveluun, johon ei pääse suoraan Internetin kautta. Voit ohittaa selaimen suojauksen poistumasta nykyisen verkkotunnuksen alueelta () DNS:n isäntänimen muutos otetaan käyttöön - hyökkääjien DNS-palvelin on määritetty lähettämään kaksi IP-osoitetta yksitellen: ensimmäinen pyyntö lähetetään sivun mukana olevan palvelimen todelliseen IP-osoitteeseen ja sen jälkeen laite palautetaan (esimerkiksi 192.168.10.1). Ensimmäisen vastauksen aika elää (TTL) on asetettu minimiarvoon, joten sivua avattaessa selain määrittää hyökkääjän palvelimen todellisen IP-osoitteen ja lataa sivun sisällön. Sivu suorittaa JavaScript-koodin, joka odottaa TTL:n vanhenemista ja lähettää toisen pyynnön, joka nyt tunnistaa isäntätunnuksen 192.168.10.1, mikä sallii JavaScriptin käyttää palvelua paikallisverkossa ohittaen ristiinlähtörajoituksen.
Kun hyökkääjä pystyy lähettämään pyynnön modeemille, hän voi hyödyntää puskurin ylivuotoa spektrianalysaattorin käsittelijässä, mikä mahdollistaa koodin suorittamisen pääkäyttäjän oikeuksilla laiteohjelmistotasolla. Tämän jälkeen hyökkääjä saa täyden hallinnan laitteeseen, jolloin hän voi muuttaa mitä tahansa asetuksia (esimerkiksi muuttaa DNS-vastauksia DNS-uudelleenohjauksella palvelimelleen), poistaa laiteohjelmistopäivitykset käytöstä, muuttaa laiteohjelmistoa, ohjata liikennettä tai kiilata verkkoyhteyksiin (MiTM). ).
Haavoittuvuus löytyy tavallisesta Broadcom-prosessorista, jota käytetään eri valmistajien kaapelimodeemien laiteohjelmistoissa. Jäsennettäessä pyyntöjä JSON-muodossa WebSocketin kautta virheellisen tietojen validoinnin vuoksi pyynnössä määritettyjen parametrien loppuosa voidaan kirjoittaa varatun puskurin ulkopuolelle ja korvata osa pinosta, mukaan lukien palautusosoite ja tallennetut rekisteriarvot.
Tällä hetkellä haavoittuvuus on varmistunut seuraavista laitteista, jotka olivat tutkimuksen aikana käytettävissä:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surffilauta SB8200.
Lähde: opennet.ru