A Lyrebirds biztonsági kutatói információ valamiről () Broadcom chipekre épülő kábelmodemekben, lehetővé téve az eszköz teljes irányítását. A kutatók szerint Európában mintegy 200 millió készüléket érint a probléma, amelyeket különböző kábelszolgáltatók használnak. Felkészült a modem ellenőrzésére , amely a problémás szolgáltatás tevékenységét, valamint a dolgozót értékeli támadás végrehajtására, amikor egy speciálisan kialakított oldal nyílik meg a felhasználó böngészőjében.
A problémát egy olyan szolgáltatás puffertúlcsordulása okozza, amely hozzáférést biztosít a spektrumanalizátor adataihoz, ami lehetővé teszi a kezelők számára, hogy diagnosztizálják a problémákat, és figyelembe vegyék a kábelkapcsolatokon jelentkező interferencia szintjét. A szolgáltatás a jsonrpc-n keresztül dolgozza fel a kéréseket, és csak a belső hálózaton fogad el kapcsolatokat. A szolgáltatás sérülékenységének kihasználása két tényező miatt lehetséges - a szolgáltatás nem volt védve a technológia használatától""a WebSocket helytelen használata és a legtöbb esetben előre definiált mérnöki jelszó alapján biztosított hozzáférés miatt, amely a modellsorozat összes eszközére jellemző (a spektrumanalizátor egy külön szolgáltatás a saját hálózati portján (általában 8080 vagy 6080) és saját mérnöki hozzáférési jelszó, amely nem fedi át a rendszergazda webes felületéről származó jelszót).
A „DNS-újrakötés” technika lehetővé teszi, hogy amikor a felhasználó megnyit egy bizonyos oldalt a böngészőben, WebSocket kapcsolatot létesíthet a belső hálózat olyan hálózati szolgáltatásával, amely nem érhető el közvetlen interneten keresztül. A böngésző védelmének megkerüléséhez az aktuális tartomány hatókörének elhagyása ellen () a DNS-ben a gazdagép nevének módosítása kerül alkalmazásra - a támadók DNS-kiszolgálója úgy van beállítva, hogy egyenként két IP-címet küldjön: az első kérést az oldallal együtt a szerver valós IP-címére küldik, majd az oldal belső címét. az eszköz visszakerül (például 192.168.10.1). Az elsõ válaszhoz tartozó élettartam (TTL) minimális értékre van állítva, így az oldal megnyitásakor a böngészõ meghatározza a támadó szerverének valós IP-címét, és betölti az oldal tartalmát. Az oldal JavaScript kódot futtat, amely megvárja a TTL lejártát, és elküld egy második kérést, amely immár 192.168.10.1-ként azonosítja a gazdagépet, amely lehetővé teszi, hogy a JavaScript hozzáférjen a szolgáltatáshoz a helyi hálózaton belül, megkerülve a több eredetre vonatkozó korlátozást.
Miután a támadó képes kérést küldeni a modemnek, kihasználhatja a spektrumanalizátor kezelőjének puffertúlcsordulását, amely lehetővé teszi a kód futtatását root jogosultságokkal a firmware szintjén. Ezt követően a támadó teljes irányítást szerez az eszköz felett, lehetővé téve számára, hogy módosítsa a beállításokat (például módosítsa a DNS-válaszokat DNS-átirányítással a szerverére), letiltja a firmware-frissítéseket, módosítsa a firmware-t, átirányítsa a forgalmat vagy beékelje a hálózati kapcsolatokat (MiTM). ).
A biztonsági rés a szabványos Broadcom processzorban található, amelyet a különböző gyártók kábelmodemeinek firmware-ében használnak. JSON formátumú kérések WebSocketen keresztüli elemzésekor a nem megfelelő adatérvényesítés miatt a kérésben megadott paraméterek végét a lefoglalt pufferen kívüli területre lehet írni, és felülírhatja a verem egy részét, beleértve a visszatérési címet és a mentett regiszterértékeket.
Jelenleg a következő eszközökben erősítették meg a sérülékenységet, amelyek a kutatás során tanulmányozhatók voltak:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- SB8200 szörfdeszka.
Forrás: opennet.ru