Öryggisrannsakendur frá Lyrebirds upplýsingar um () í kapalmótaldum sem byggjast á Broadcom flísum, sem gerir fulla stjórn á tækinu kleift. Að sögn vísindamanna eru um 200 milljónir tækja í Evrópu, notuð af mismunandi kapalrekendum, fyrir áhrifum af vandamálinu. Tilbúinn til að athuga mótaldið þitt , sem metur virkni hinnar erfiðu þjónustu, sem og starfsmanninn að gera árás þegar sérhönnuð síða er opnuð í vafra notandans.
Vandamálið stafar af biðminni í þjónustu sem veitir aðgang að litrófsgreiningargögnum, sem gerir rekstraraðilum kleift að greina vandamál og taka tillit til truflana á kapaltengingum. Þjónustan vinnur úr beiðnum í gegnum jsonrpc og tekur aðeins við tengingum á innra neti. Nýting á varnarleysi þjónustunnar var möguleg vegna tveggja þátta - þjónustan var ekki vernduð fyrir notkun tækni ""vegna rangrar notkunar á WebSocket og í flestum tilfellum veittur aðgangur byggður á fyrirfram skilgreindu verkfræðilegu lykilorði, sem er sameiginlegt fyrir öll tæki í tegundaröðinni (rófgreiningartækið er sérstakt þjónusta á eigin nettengi (venjulega 8080 eða 6080) með sínu eigin lykilorð fyrir verkfræðiaðgang, sem skarast ekki við lykilorð frá vefviðmóti stjórnanda).
„DNS rebinding“ tæknin gerir kleift, þegar notandi opnar ákveðna síðu í vafra, að koma á WebSocket tengingu við sérþjónustu á innra netinu sem ekki er aðgengileg fyrir beinan aðgang í gegnum internetið. Til að komast framhjá vafravörn gegn því að yfirgefa gildissvið núverandi léns () breyting á hýsilnafni í DNS er beitt - DNS-þjónn árásarmannanna er stilltur til að senda tvær IP-tölur eitt í einu: fyrsta beiðnin er send á raunverulegt IP-tölu netþjónsins með síðunni og síðan innra heimilisfangið á tækinu er skilað (til dæmis 192.168.10.1). Tími til að lifa (TTL) fyrir fyrsta svar er stillt á lágmarksgildi, þannig að þegar síðu er opnuð ákvarðar vafrinn raunverulegt IP netþjóni árásarmannsins og hleður innihald síðunnar. Síðan keyrir JavaScript kóða sem bíður eftir að TTL rennur út og sendir aðra beiðni, sem nú auðkennir hýsilinn sem 192.168.10.1, sem gerir JavaScript kleift að fá aðgang að þjónustunni innan staðarnetsins, framhjá krossupprunatakmörkunum.
Þegar árásarmaður hefur getað sent beiðni til mótaldsins getur hann nýtt sér yfirflæði biðminni í litrófsgreiningartækinu, sem gerir kleift að keyra kóða með rótarréttindum á fastbúnaðarstigi. Eftir þetta öðlast árásarmaðurinn fulla stjórn á tækinu, sem gerir honum kleift að breyta hvaða stillingum sem er (til dæmis breyta DNS svörum í gegnum DNS-framvísun á netþjóninn sinn), slökkva á fastbúnaðaruppfærslum, breyta fastbúnaði, beina umferð eða fleygja inn nettengingar (MiTM) ).
Varnarleysið er til staðar í venjulegum Broadcom örgjörva, sem er notaður í fastbúnaði kapalmótalda frá ýmsum framleiðendum. Þegar beiðnir eru flokkaðar á JSON sniði í gegnum WebSocket, vegna óviðeigandi sannprófunar á gögnum, er hægt að skrifa hala færibreytanna sem tilgreindar eru í beiðninni á svæði fyrir utan úthlutað biðminni og skrifa yfir hluta staflans, þar með talið skilafangið og vistuð skráargildi.
Eins og er hefur varnarleysið verið staðfest í eftirfarandi tækjum sem voru tiltæk til rannsóknar meðan á rannsókninni stóð:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Brimbretti SB8200.
Heimild: opennet.ru