Sécherheet Fuerscher aus Lyrebirds Informatiounen iwwer () a Kabelmodem baséiert op Broadcom Chips, déi voll Kontroll iwwer den Apparat erlaabt. Laut Fuerscher sinn ongeféier 200 Milliounen Apparater an Europa, déi vu verschiddene Kabelbetreiber benotzt ginn, vum Problem betraff. Bereet Äre Modem ze kontrolléieren , déi d'Aktivitéit vum problematesche Service evaluéiert, wéi och den Aarbechter en Attack auszeféieren wann eng speziell entworf Säit am Browser vum Benotzer opgemaach gëtt.
De Problem ass verursaacht duerch e Pufferiwwerfluss an engem Service deen Zougang zu Spektrumanalysatordaten ubitt, wat d'Betreiber erlaabt Problemer ze diagnostizéieren an den Niveau vun der Amëschung op Kabelverbindungen ze berücksichtegen. De Service veraarbecht Ufroen iwwer jsonrpc an akzeptéiert Verbindungen nëmmen am internen Netzwierk. D'Ausbeutung vun der Schwachstelle am Service war méiglech wéinst zwee Faktoren - de Service war net geschützt vum Gebrauch vun Technologie ""wéinst falscher Benotzung vu WebSocket an an de meeschte Fäll gëtt Zougang baséiert op engem virdefinéierten Ingenieurspasswuert, gemeinsam fir all Apparater vun der Modellserie (de Spektrumanalysator ass e separaten Service op sengem eegenen Netzwierkport (normalerweis 8080 oder 6080) mat sengem eegenen Ingenieur Zougang Passwuert, dat net mat engem Passwuert vun der Administrator Web Interface iwwerlappt).
D'Technik "DNS Rebinding" erlaabt, wann e Benotzer eng bestëmmte Säit an engem Browser opmaacht, eng WebSocket Verbindung mat engem Netzwierkservice am internen Netz opzebauen, deen net fir direkten Zougang iwwer den Internet zougänglech ass. Fir de Browser Schutz géint den Ëmfang vum aktuellen Domain ze verloossen () eng Ännerung vum Hostnumm an DNS gëtt applizéiert - den DNS-Server vun den Ugräifer ass konfiguréiert fir zwou IP Adressen een nom aneren ze schécken: déi éischt Ufro gëtt un déi richteg IP vum Server mat der Säit geschéckt, an dann déi intern Adress vum den Apparat gëtt zréck (zum Beispill, 192.168.10.1). D'Zäit fir ze liewen (TTL) fir déi éischt Äntwert gëtt op e Minimumwäert gesat, also wann Dir d'Säit opmaacht, bestëmmt de Browser déi richteg IP vum Server vum Ugräifer a lued den Inhalt vun der Säit. D'Säit leeft JavaScript Code deen op den TTL waart fir ofzelafen a schéckt eng zweet Ufro, déi elo den Host als 192.168.10.1 identifizéiert, wat JavaScript erlaabt op de Service am lokalen Netzwierk ze kommen, d'Cross-Origin Restriktioun ëmzegoen.
Eemol fäeg ass eng Ufro un de Modem ze schécken, kann en Ugräifer e Pufferiwwerfluss am Spektrum Analyser Handler ausnotzen, wat et erlaabt Code mat Root Privilegien um Firmware Niveau auszeféieren. Duerno kritt den Ugräifer voll Kontroll iwwer den Apparat, wat him erlaabt all Astellungen z'änneren (zum Beispill d'DNS-Äntwerten duerch DNS Viruleedung op säi Server z'änneren), Firmwareupdates auszeschalten, d'Firmware z'änneren, den Traffic ëmgeleet oder an d'Netzverbindunge keilen (MiTM) ).
D'Schwachheet ass präsent am Standard Broadcom Prozessor, deen an der Firmware vu Kabelmodem vu verschiddene Hiersteller benotzt gëtt. Wann Dir Ufroen am JSON-Format iwwer WebSocket parséiert, wéinst enger falscher Datevalidatioun, kann de Schwanz vun de Parameteren, déi an der Ufro spezifizéiert sinn, op e Gebitt ausserhalb vum zougewisen Puffer geschriwwe ginn an en Deel vum Stack iwwerschreiwe, och d'Retouradress a gespäichert Registerwäerter.
De Moment ass d'Schwachheet an de folgenden Apparater bestätegt, déi während der Fuerschung verfügbar waren:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfboard SB8200.
Source: opennet.ru