Անվտանգության հետազոտողներ Lyrebirds-ից
Խնդիրն առաջանում է ծառայության մեջ բուֆերային արտահոսքից, որն ապահովում է մուտք դեպի սպեկտրի անալիզատորի տվյալները, ինչը թույլ է տալիս օպերատորներին ախտորոշել խնդիրները և հաշվի առնել մալուխային միացումների վրա միջամտության մակարդակը: Ծառայությունը մշակում է հարցումները jsonrpc-ի միջոցով և ընդունում է կապեր միայն ներքին ցանցում: Ծառայության խոցելիության շահագործումը հնարավոր է եղել երկու գործոնի պատճառով՝ ծառայությունը պաշտպանված չէր տեխնոլոգիայի կիրառումից»:
«DNS rebinding» տեխնիկան թույլ է տալիս, երբ օգտատերը բրաուզերում բացում է որոշակի էջ, ստեղծել WebSocket կապ ներքին ցանցի ցանցային ծառայության հետ, որը հասանելի չէ ինտերնետի միջոցով ուղղակի մուտքի համար: Բրաուզերի պաշտպանությունը շրջանցելու համար ընթացիկ տիրույթի շրջանակը լքելուց (
Հենց որ կարողանա հարցում ուղարկել մոդեմին, հարձակվողը կարող է օգտագործել բուֆերային արտահոսքը սպեկտրի անալիզատորի մշակիչում, որը թույլ է տալիս կոդը կատարել արմատային արտոնություններով որոնվածի մակարդակում: Դրանից հետո հարձակվողը ձեռք է բերում ամբողջական վերահսկողություն սարքի վրա՝ թույլ տալով նրան փոխել ցանկացած կարգավորում (օրինակ՝ փոխել DNS-ի պատասխանները DNS-ի վերահղման միջոցով դեպի իր սերվեր), անջատել որոնվածի թարմացումները, փոխել որոնվածը, վերահղել երթևեկությունը կամ խրվել ցանցային միացումների մեջ (MiTM): )
Խոցելիությունը առկա է ստանդարտ Broadcom պրոցեսորում, որն օգտագործվում է տարբեր արտադրողների մալուխային մոդեմների որոնվածում: WebSocket-ի միջոցով JSON ձևաչափով հարցումները վերլուծելիս, տվյալների ոչ պատշաճ վավերացման պատճառով, հարցումում նշված պարամետրերի պոչը կարող է գրվել հատկացված բուֆերից դուրս գտնվող տարածքում և վերագրել կույտի մի մասը, ներառյալ վերադարձի հասցեն և պահպանված ռեգիստրի արժեքները:
Ներկայումս խոցելիությունը հաստատվել է հետևյալ սարքերում, որոնք հասանելի են եղել հետազոտության ընթացքում.
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfboard SB8200.
Source: opennet.ru