Lyrebirds のセキュリティ研究者
この問題は、スペクトラム アナライザ データへのアクセスを提供するサービスでのバッファ オーバーフローが原因で発生します。これにより、オペレータは問題を診断し、ケーブル接続の干渉レベルを考慮することができます。 このサービスは jsonrpc 経由でリクエストを処理し、内部ネットワークでのみ接続を受け入れます。 サービスの脆弱性の悪用は XNUMX つの要因によって可能でした - サービスがテクノロジーの使用から保護されていなかった
「DNS 再バインド」技術を使用すると、ユーザーがブラウザで特定のページを開くと、インターネット経由で直接アクセスできない内部ネットワーク上のネットワーク サービスと WebSocket 接続を確立できます。 現在のドメインのスコープを離れることに対するブラウザ保護をバイパスするには (
モデムにリクエストを送信できるようになると、攻撃者はスペクトラム アナライザ ハンドラのバッファ オーバーフローを悪用して、ファームウェア レベルの root 権限でコードを実行できるようになります。 その後、攻撃者はデバイスを完全に制御できるようになり、あらゆる設定の変更 (たとえば、サーバーへの DNS リダイレクトによる DNS 応答の変更)、ファームウェアの更新の無効化、ファームウェアの変更、トラフィックのリダイレクト、またはネットワーク接続への介入 (MiTM) が可能になります。 )。
この脆弱性は、さまざまなメーカーのケーブル モデムのファームウェアで使用されている標準的な Broadcom プロセッサに存在します。 WebSocket 経由で JSON 形式のリクエストを解析する場合、データ検証が不適切なため、リクエストで指定されたパラメータの末尾が割り当てられたバッファの外側の領域に書き込まれ、リターン アドレスや保存されたレジスタ値を含むスタックの一部が上書きされる可能性があります。
現在、調査中に利用可能だった次のデバイスで脆弱性が確認されています。
- Sagemcom F@st 3890、3686;
- ネットギア CG3700EMR、C6250EMR、CM1000;
- テクニカラー TC7230、TC4400;
- コンパル 7284E、7486E;
- サーフボードSB8200。
出所: オープンネット.ru