Lyrebirds のセキュリティ研究者 についての情報 ()Broadcom チップをベースにしたケーブル モデムで、デバイスを完全に制御できます。 研究者らによると、ヨーロッパのさまざまなケーブル事業者が使用する約 200 億台のデバイスがこの問題の影響を受けています。 モデムをチェックする準備ができました 、問題のあるサービスのアクティビティとワーカーを評価します。 ユーザーのブラウザで特別にデザインされたページが開かれたときに攻撃を実行します。
この問題は、スペクトラム アナライザ データへのアクセスを提供するサービスでのバッファ オーバーフローが原因で発生します。これにより、オペレータは問題を診断し、ケーブル接続の干渉レベルを考慮することができます。 このサービスは jsonrpc 経由でリクエストを処理し、内部ネットワークでのみ接続を受け入れます。 サービスの脆弱性の悪用は XNUMX つの要因によって可能でした - サービスがテクノロジーの使用から保護されていなかった「WebSocket の誤った使用が原因で、ほとんどの場合、モデル シリーズのすべてのデバイスに共通の事前定義されたエンジニアリング パスワードに基づいてアクセスが提供されていました (スペクトラム アナライザは、独自のネットワーク ポート (通常は 8080 または 6080) 上の別個のサービスであり、独自のエンジニアリング アクセス パスワード。管理者 Web インターフェイスのパスワードと重複しません)。
「DNS 再バインド」技術を使用すると、ユーザーがブラウザで特定のページを開くと、インターネット経由で直接アクセスできない内部ネットワーク上のネットワーク サービスと WebSocket 接続を確立できます。 現在のドメインのスコープを離れることに対するブラウザ保護をバイパスするには () DNS のホスト名の変更が適用されます。攻撃者の DNS サーバーは 192.168.10.1 つの IP アドレスを 192.168.10.1 つずつ送信するように構成されています。最初のリクエストはページを含むサーバーの実際の IP に送信され、次にその内部アドレスが送信されます。デバイスが返されます (例: XNUMX)。 最初の応答の生存時間 (TTL) は最小値に設定されているため、ページを開くと、ブラウザーは攻撃者のサーバーの実際の IP を特定し、ページのコンテンツを読み込みます。 このページは、TTL が期限切れになるのを待って XNUMX 番目のリクエストを送信する JavaScript コードを実行します。これにより、ホストが XNUMX として識別され、JavaScript がクロスオリジン制限を回避してローカル ネットワーク内のサービスにアクセスできるようになります。
モデムにリクエストを送信できるようになると、攻撃者はスペクトラム アナライザ ハンドラのバッファ オーバーフローを悪用して、ファームウェア レベルの root 権限でコードを実行できるようになります。 その後、攻撃者はデバイスを完全に制御できるようになり、あらゆる設定の変更 (たとえば、サーバーへの DNS リダイレクトによる DNS 応答の変更)、ファームウェアの更新の無効化、ファームウェアの変更、トラフィックのリダイレクト、またはネットワーク接続への介入 (MiTM) が可能になります。 )。
この脆弱性は、さまざまなメーカーのケーブル モデムのファームウェアで使用されている標準的な Broadcom プロセッサに存在します。 WebSocket 経由で JSON 形式のリクエストを解析する場合、データ検証が不適切なため、リクエストで指定されたパラメータの末尾が割り当てられたバッファの外側の領域に書き込まれ、リターン アドレスや保存されたレジスタ値を含むスタックの一部が上書きされる可能性があります。
現在、調査中に利用可能だった次のデバイスで脆弱性が確認されています。
- Sagemcom F@st 3890、3686;
- ネットギア CG3700EMR、C6250EMR、CM1000;
- テクニカラー TC7230、TC4400;
- コンパル 7284E、7486E;
- サーフボードSB8200。
出所: オープンネット.ru