Feiligensûndersikers fan Lyrebirds Ynformaasje oer () yn kabelmodems basearre op Broadcom-chips, wêrtroch folsleine kontrôle oer it apparaat mooglik is. Neffens ûndersikers binne sa'n 200 miljoen apparaten yn Europa, brûkt troch ferskate kabeloperators, beynfloede troch it probleem. Tariede om jo modem te kontrolearjen , dy't de aktiviteit fan 'e problematyske tsjinst evaluearret, lykas de arbeider om in oanfal út te fieren as in spesjaal ûntworpen side wurdt iepene yn 'e browser fan de brûker.
It probleem wurdt feroarsake troch in buffer oerstreaming yn in tsjinst dy't jout tagong ta spektrum analysator gegevens, wêrtroch operators in diagnoaze problemen en nimme rekken mei it nivo fan ynterferinsje op kabel ferbinings. De tsjinst ferwurket oanfragen fia jsonrpc en akseptearret allinich ferbiningen op it ynterne netwurk. Eksploitaasje fan 'e kwetsberens yn' e tsjinst wie mooglik troch twa faktoaren - de tsjinst wie net beskerme tsjin it brûken fan technology ""fanwege ferkeard gebrûk fan WebSocket en yn 'e measte gefallen tagong levere op basis fan in foarôf definieare yngenieurwachtwurd, mienskiplik foar alle apparaten fan' e modelsearje (de spektrumanalysator is in aparte tsjinst op syn eigen netwurkpoarte (meastentiids 8080 of 6080) mei syn eigen engineering tagong wachtwurd, dat net oerlaapet mei in wachtwurd fan 'e webynterface fan behearder).
De technyk "DNS rebinding" lit, as in brûker in bepaalde side yn in browser iepenet, in WebSocket-ferbining meitsje mei in netwurktsjinst op it ynterne netwurk dat net tagonklik is foar direkte tagong fia it ynternet. Om browserbeskerming te omgean tsjin it ferlitten fan it berik fan it hjoeddeistige domein () in feroaring fan 'e hostnamme yn DNS wurdt tapast - de DNS-tsjinner fan 'e oanfallers is konfigureare om twa IP-adressen ien foar ien te ferstjoeren: it earste fersyk wurdt stjoerd nei it echte IP fan' e tsjinner mei de side, en dan it ynterne adres fan it apparaat wurdt weromjûn (bygelyks 192.168.10.1). De tiid om te libjen (TTL) foar it earste antwurd is ynsteld op in minimale wearde, dus by it iepenjen fan 'e side bepaalt de browser de echte IP fan' e server fan 'e oanfaller en laadt de ynhâld fan' e side. De side rint JavaSkript-koade dy't wachtet foar it ferrinnen fan de TTL en stjoert in twadde fersyk, dy't no de host identifisearret as 192.168.10.1, wêrtroch JavaSkript tagong hat ta de tsjinst binnen it lokale netwurk, troch de beheining fan cross-origin te omgean.
Sadree't by steat is om te stjoeren in fersyk nei it modem, in oanfaller kin eksploitearje in buffer oerstreaming yn de spektrum analyzer handler, wêrtroch koade kin wurde útfierd mei root privileezjes op it firmware nivo. Hjirnei krijt de oanfaller folsleine kontrôle oer it apparaat, wêrtroch't hy alle ynstellings kin feroarje (bygelyks DNS-antwurden wizigje fia DNS-omlieding nei syn server), firmware-updates útskeakelje, firmware feroarje, ferkear omliede of wig yn netwurkferbiningen (MiTM) ).
De kwetsberens is oanwêzich yn 'e standert Broadcom-prosessor, dy't brûkt wurdt yn' e firmware fan kabelmodems fan ferskate fabrikanten. By it parsearjen fan fersiken yn JSON-formaat fia WebSocket, fanwege ferkearde gegevensvalidaasje, kin de sturt fan 'e parameters oantsjutte yn it fersyk wurde skreaun nei in gebiet bûten de tawiisde buffer en oerskriuwe diel fan' e stapel, ynklusyf it weromadres en bewarre registerwearden.
Op it stuit is de kwetsberens befêstige yn 'e folgjende apparaten dy't beskikber wiene foar stúdzje tidens it ûndersyk:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfboard SB8200.
Boarne: opennet.ru