Անվտանգության հետազոտողներ Lyrebirds-ից մասին տեղեկատվություն () մալուխային մոդեմներում, որոնք հիմնված են Broadcom չիպերի վրա, ինչը թույլ է տալիս լիովին վերահսկել սարքը: Ըստ հետազոտողների՝ Եվրոպայում մոտ 200 միլիոն սարքեր, որոնք օգտագործվում են տարբեր մալուխային օպերատորների կողմից, տուժում են այդ խնդրից: Պատրաստ է ստուգել ձեր մոդեմը , որը գնահատում է խնդրահարույց ծառայության, ինչպես նաեւ աշխատողի գործունեությունը հարձակում իրականացնել, երբ օգտագործողի բրաուզերում բացվում է հատուկ նախագծված էջ:
Խնդիրն առաջանում է ծառայության մեջ բուֆերային արտահոսքից, որն ապահովում է մուտք դեպի սպեկտրի անալիզատորի տվյալները, ինչը թույլ է տալիս օպերատորներին ախտորոշել խնդիրները և հաշվի առնել մալուխային միացումների վրա միջամտության մակարդակը: Ծառայությունը մշակում է հարցումները jsonrpc-ի միջոցով և ընդունում է կապեր միայն ներքին ցանցում: Ծառայության խոցելիության շահագործումը հնարավոր է եղել երկու գործոնի պատճառով՝ ծառայությունը պաշտպանված չէր տեխնոլոգիայի կիրառումից»:«WebSocket-ի սխալ օգտագործման պատճառով և շատ դեպքերում տրամադրվում է մուտք՝ հիմնված նախապես սահմանված ինժեներական գաղտնաբառի վրա, որը տարածված է մոդելային շարքի բոլոր սարքերի համար (սպեկտրային անալիզատորը առանձին ծառայություն է իր ցանցային պորտում (սովորաբար 8080 կամ 6080) իր սեփականով։ ինժեներական մուտքի գաղտնաբառ, որը չի համընկնում ադմինիստրատորի վեբ ինտերֆեյսի գաղտնաբառի հետ):
«DNS rebinding» տեխնիկան թույլ է տալիս, երբ օգտատերը բրաուզերում բացում է որոշակի էջ, ստեղծել WebSocket կապ ներքին ցանցի ցանցային ծառայության հետ, որը հասանելի չէ ինտերնետի միջոցով ուղղակի մուտքի համար: Բրաուզերի պաշտպանությունը շրջանցելու համար ընթացիկ տիրույթի շրջանակը լքելուց () Կիրառվում է հոսթի անվան փոփոխություն DNS-ում - հարձակվողների DNS սերվերը կազմաձևված է այնպես, որ մեկ առ մեկ ուղարկի երկու IP հասցե. առաջին հարցումն ուղարկվում է էջի հետ սերվերի իրական IP-ին, այնուհետև՝ ներքին հասցեն: սարքը վերադարձվում է (օրինակ, 192.168.10.1): Առաջին պատասխանի համար ապրելու ժամանակը (TTL) սահմանված է նվազագույն արժեքի, ուստի էջը բացելիս զննարկիչը որոշում է հարձակվողի սերվերի իրական IP-ն և բեռնում է էջի բովանդակությունը: Էջը գործարկում է JavaScript կոդը, որը սպասում է TTL-ի ժամկետի ավարտին և ուղարկում է երկրորդ հարցումը, որն այժմ նույնացնում է հոսթին որպես 192.168.10.1, որը թույլ է տալիս JavaScript-ին մուտք գործել ծառայություն տեղական ցանցի ներսում՝ շրջանցելով խաչաձև ծագման սահմանափակումը:
Հենց որ կարողանա հարցում ուղարկել մոդեմին, հարձակվողը կարող է օգտագործել բուֆերային արտահոսքը սպեկտրի անալիզատորի մշակիչում, որը թույլ է տալիս կոդը կատարել արմատային արտոնություններով որոնվածի մակարդակում: Դրանից հետո հարձակվողը ձեռք է բերում ամբողջական վերահսկողություն սարքի վրա՝ թույլ տալով նրան փոխել ցանկացած կարգավորում (օրինակ՝ փոխել DNS-ի պատասխանները DNS-ի վերահղման միջոցով դեպի իր սերվեր), անջատել որոնվածի թարմացումները, փոխել որոնվածը, վերահղել երթևեկությունը կամ խրվել ցանցային միացումների մեջ (MiTM): )
Խոցելիությունը առկա է ստանդարտ Broadcom պրոցեսորում, որն օգտագործվում է տարբեր արտադրողների մալուխային մոդեմների որոնվածում: WebSocket-ի միջոցով JSON ձևաչափով հարցումները վերլուծելիս, տվյալների ոչ պատշաճ վավերացման պատճառով, հարցումում նշված պարամետրերի պոչը կարող է գրվել հատկացված բուֆերից դուրս գտնվող տարածքում և վերագրել կույտի մի մասը, ներառյալ վերադարձի հասցեն և պահպանված ռեգիստրի արժեքները:
Ներկայումս խոցելիությունը հաստատվել է հետևյալ սարքերում, որոնք հասանելի են եղել հետազոտության ընթացքում.
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfboard SB8200.
Source: opennet.ru