Beveiligingsonderzoekers van Lyrebirds informatie over () in kabelmodems op basis van Broadcom-chips, waardoor volledige controle over het apparaat mogelijk is. Volgens onderzoekers hebben ongeveer 200 miljoen apparaten in Europa, die door verschillende kabelexploitanten worden gebruikt, last van het probleem. Bereid om uw modem te controleren , die de activiteit van de problematische dienst evalueert, evenals de werknemer om een aanval uit te voeren wanneer een speciaal ontworpen pagina wordt geopend in de browser van de gebruiker.
Het probleem wordt veroorzaakt door een bufferoverloop in een dienst die toegang biedt tot spectrumanalysegegevens, waardoor operators problemen kunnen diagnosticeren en rekening kunnen houden met de mate van interferentie op kabelverbindingen. De dienst verwerkt verzoeken via jsonrpc en accepteert alleen verbindingen op het interne netwerk. Exploitatie van de kwetsbaarheid in de dienst was mogelijk vanwege twee factoren: de dienst was niet beschermd tegen het gebruik van technologie ""als gevolg van onjuist gebruik van WebSocket en in de meeste gevallen toegang verleend op basis van een vooraf gedefinieerd technisch wachtwoord, gemeenschappelijk voor alle apparaten uit de modelserie (de spectrumanalysator is een afzonderlijke service op een eigen netwerkpoort (meestal 8080 of 6080) met een eigen wachtwoord voor technische toegang, dat niet overlapt met een wachtwoord van de beheerderswebinterface).
De “DNS rebinding”-techniek maakt het mogelijk om, wanneer een gebruiker een bepaalde pagina in een browser opent, een WebSocket-verbinding tot stand te brengen met een netwerkdienst op het interne netwerk die niet toegankelijk is voor directe toegang via internet. Om de browserbeveiliging te omzeilen tegen het verlaten van het bereik van het huidige domein () er wordt een wijziging van de hostnaam in DNS toegepast - de DNS-server van de aanvaller is geconfigureerd om twee IP-adressen één voor één te verzenden: het eerste verzoek wordt verzonden naar het echte IP-adres van de server met de pagina en vervolgens naar het interne adres van het apparaat wordt geretourneerd (bijvoorbeeld 192.168.10.1). De time to live (TTL) voor het eerste antwoord is ingesteld op een minimumwaarde, dus bij het openen van de pagina bepaalt de browser het echte IP-adres van de server van de aanvaller en laadt de inhoud van de pagina. De pagina voert JavaScript-code uit die wacht tot de TTL verloopt en verzendt een tweede verzoek, dat nu de host identificeert als 192.168.10.1, waardoor JavaScript toegang krijgt tot de service binnen het lokale netwerk, waarbij de cross-origin-beperking wordt omzeild.
Zodra een aanvaller een verzoek naar het modem kan sturen, kan hij misbruik maken van een bufferoverflow in de spectrumanalyzerhandler, waardoor code kan worden uitgevoerd met rootrechten op firmwareniveau. Hierna krijgt de aanvaller volledige controle over het apparaat, waardoor hij alle instellingen kan wijzigen (bijvoorbeeld DNS-reacties wijzigen via DNS-omleiding naar zijn server), firmware-updates uitschakelen, de firmware wijzigen, verkeer omleiden of in netwerkverbindingen wiggen (MiTM ).
De kwetsbaarheid is aanwezig in de standaard Broadcom-processor, die wordt gebruikt in de firmware van kabelmodems van verschillende fabrikanten. Bij het parseren van verzoeken in JSON-formaat via WebSocket kan, als gevolg van onjuiste gegevensvalidatie, de staart van de in het verzoek gespecificeerde parameters naar een gebied buiten de toegewezen buffer worden geschreven en een deel van de stapel overschrijven, inclusief het retouradres en de opgeslagen registerwaarden.
Momenteel is de kwetsbaarheid bevestigd in de volgende apparaten die tijdens het onderzoek beschikbaar waren voor onderzoek:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfplank SB8200.
Bron: opennet.ru