Peneliti keamanan dari Lyrebirds informasi tentang () pada modem kabel berdasarkan chip Broadcom, memungkinkan kontrol penuh atas perangkat. Menurut para peneliti, sekitar 200 juta perangkat di Eropa, yang digunakan oleh berbagai operator kabel, terkena dampak masalah ini. Bersiap untuk memeriksa modem Anda , yang mengevaluasi aktivitas layanan yang bermasalah, serta pekerja untuk melakukan serangan ketika halaman yang dirancang khusus dibuka di browser pengguna.
Masalah ini disebabkan oleh buffer overflow pada layanan yang menyediakan akses ke data penganalisis spektrum, yang memungkinkan operator mendiagnosis masalah dan memperhitungkan tingkat interferensi pada sambungan kabel. Layanan memproses permintaan melalui jsonrpc dan hanya menerima koneksi di jaringan internal. Eksploitasi kerentanan dalam layanan dimungkinkan karena dua faktor - layanan tidak dilindungi dari penggunaan teknologi ""karena penggunaan WebSocket yang salah dan dalam banyak kasus memberikan akses berdasarkan kata sandi teknik yang telah ditentukan sebelumnya, umum untuk semua perangkat seri model (penganalisis spektrum adalah layanan terpisah pada port jaringannya sendiri (biasanya 8080 atau 6080) dengan miliknya sendiri kata sandi akses teknik, yang tidak tumpang tindih dengan kata sandi dari antarmuka web administrator).
Teknik βDNS rebindingβ memungkinkan, ketika pengguna membuka halaman tertentu di browser, untuk membuat koneksi WebSocket dengan layanan jaringan di jaringan internal yang tidak dapat diakses untuk akses langsung melalui Internet. Untuk melewati perlindungan browser agar tidak meninggalkan cakupan domain saat ini () perubahan nama host di DNS diterapkan - server DNS penyerang dikonfigurasi untuk mengirim dua alamat IP satu per satu: permintaan pertama dikirim ke IP asli server dengan halaman tersebut, dan kemudian alamat internal dari perangkat dikembalikan (misalnya, 192.168.10.1). Time to live (TTL) untuk respons pertama disetel ke nilai minimum, sehingga saat membuka halaman, browser menentukan IP sebenarnya dari server penyerang dan memuat konten halaman. Halaman tersebut menjalankan kode JavaScript yang menunggu TTL kedaluwarsa dan mengirimkan permintaan kedua, yang sekarang mengidentifikasi host sebagai 192.168.10.1, yang memungkinkan JavaScript mengakses layanan dalam jaringan lokal, melewati batasan lintas asal.
Setelah dapat mengirim permintaan ke modem, penyerang dapat mengeksploitasi buffer overflow di pengendali penganalisis spektrum, yang memungkinkan kode dieksekusi dengan hak akses root pada tingkat firmware. Setelah ini, penyerang mendapatkan kendali penuh atas perangkat, memungkinkannya mengubah pengaturan apa pun (misalnya, mengubah respons DNS melalui pengalihan DNS ke servernya), menonaktifkan pembaruan firmware, mengubah firmware, mengalihkan lalu lintas, atau menyambung ke koneksi jaringan (MiTM ).
Kerentanan terdapat pada prosesor Broadcom standar, yang digunakan dalam firmware modem kabel dari berbagai produsen. Saat mengurai permintaan dalam format JSON melalui WebSocket, karena validasi data yang tidak tepat, ekor parameter yang ditentukan dalam permintaan dapat ditulis ke area di luar buffer yang dialokasikan dan menimpa bagian tumpukan, termasuk alamat pengirim dan nilai register yang disimpan.
Saat ini, kerentanan telah dikonfirmasi pada perangkat berikut yang tersedia untuk dipelajari selama penelitian:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Warna teknis TC7230, TC4400;
- KOMPAL 7284E, 7486E;
- Papan Selancar SB8200.
Sumber: opennet.ru