Peneliti keamanan saka Lyrebirds informasi babagan () ing modem kabel adhedhasar Kripik Broadcom, ngidini kontrol lengkap liwat piranti. Miturut peneliti, udakara 200 yuta piranti ing Eropa, sing digunakake dening operator kabel sing beda-beda, kena pengaruh masalah kasebut. Siap mriksa modem sampeyan , sing ngevaluasi aktivitas layanan masalah, uga buruh kanggo nindakake serangan nalika kaca sing dirancang khusus dibukak ing browser pangguna.
Masalah kasebut disebabake kebanjiran buffer ing layanan sing nyedhiyakake akses menyang data penganalisis spektrum, sing ngidini operator diagnosa masalah lan njupuk tingkat gangguan ing sambungan kabel. Layanan pangolahan panjalukan liwat jsonrpc lan nampa sambungan mung ing jaringan internal. Eksploitasi kerentanan ing layanan kasebut bisa ditindakake amarga rong faktor - layanan kasebut ora dilindhungi saka panggunaan teknologi ""amarga salah nggunakake WebSocket lan ing umume kasus kasedhiya akses adhedhasar sandi engineering sing wis ditemtokake, umum kanggo kabeh piranti saka seri model (spektrum analyzer minangka layanan kapisah ing port jaringan dhewe (biasane 8080 utawa 6080) karo dhewe. sandhi akses engineering, sing ora tumpang tindih karo sandhi saka antarmuka web administrator).
Teknik "DNS rebinding" ngidini, nalika pangguna mbukak kaca tartamtu ing browser, kanggo nggawe sambungan WebSocket karo layanan jaringan ing jaringan internal sing ora bisa diakses kanggo akses langsung liwat Internet. Kanggo ngliwati proteksi browser supaya ora ninggalake ruang lingkup domain saiki () owah-owahan jeneng host ing DNS ditrapake - server DNS panyerang dikonfigurasi kanggo ngirim loro alamat IP siji-siji: panjalukan pisanan dikirim menyang IP nyata server kanthi kaca, banjur alamat internal saka piranti bali (contone, 192.168.10.1). Wektu kanggo urip (TTL) kanggo respon pisanan disetel menyang nilai minimal, dadi nalika mbukak kaca, browser nemtokake IP nyata saka server penyerang lan ngemot isi kaca kasebut. Kaca kasebut nganggo kode JavaScript sing ngenteni TTL kadaluwarsa lan ngirim panjalukan kapindho, sing saiki ngenali host minangka 192.168.10.1, sing ngidini JavaScript ngakses layanan kasebut ing jaringan lokal, ngliwati watesan lintas-asal.
Sawise bisa ngirim panjalukan menyang modem, panyerang bisa ngeksploitasi kebanjiran buffer ing panangan penganalisa spektrum, sing ngidini kode dieksekusi kanthi hak istimewa root ing tingkat perangkat kukuh. Sawise iki, panyerang entuk kontrol lengkap ing piranti kasebut, ngidini dheweke ngganti setelan apa wae (umpamane, ngganti tanggapan DNS liwat pangalihan DNS menyang server), mateni nganyari perangkat kukuh, ngganti perangkat kukuh, ngarahake lalu lintas utawa irisan menyang sambungan jaringan (MiTM). ).
Kerentanan kasebut ana ing prosesor Broadcom standar, sing digunakake ing firmware modem kabel saka macem-macem manufaktur. Nalika panjalukan parsing ing format JSON liwat WebSocket, amarga validasi data sing ora bener, buntut paramèter sing ditemtokake ing panyuwunan bisa ditulis menyang area ing njaba buffer sing diparengake lan nimpa bagean tumpukan, kalebu alamat bali lan nilai registrasi sing disimpen.
Saiki, kerentanan wis dikonfirmasi ing piranti ing ngisor iki sing kasedhiya kanggo sinau sajrone riset:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Papan selancar SB8200.
Source: opennet.ru