Beveiligingsonderzoekers van Lyrebirds
Het probleem wordt veroorzaakt door een bufferoverloop in een dienst die toegang biedt tot spectrumanalysegegevens, waardoor operators problemen kunnen diagnosticeren en rekening kunnen houden met de mate van interferentie op kabelverbindingen. De dienst verwerkt verzoeken via jsonrpc en accepteert alleen verbindingen op het interne netwerk. Exploitatie van de kwetsbaarheid in de dienst was mogelijk vanwege twee factoren: de dienst was niet beschermd tegen het gebruik van technologie "
De “DNS rebinding”-techniek maakt het mogelijk om, wanneer een gebruiker een bepaalde pagina in een browser opent, een WebSocket-verbinding tot stand te brengen met een netwerkdienst op het interne netwerk die niet toegankelijk is voor directe toegang via internet. Om de browserbeveiliging te omzeilen tegen het verlaten van het bereik van het huidige domein (
Zodra een aanvaller een verzoek naar het modem kan sturen, kan hij misbruik maken van een bufferoverflow in de spectrumanalyzerhandler, waardoor code kan worden uitgevoerd met rootrechten op firmwareniveau. Hierna krijgt de aanvaller volledige controle over het apparaat, waardoor hij alle instellingen kan wijzigen (bijvoorbeeld DNS-reacties wijzigen via DNS-omleiding naar zijn server), firmware-updates uitschakelen, de firmware wijzigen, verkeer omleiden of in netwerkverbindingen wiggen (MiTM ).
De kwetsbaarheid is aanwezig in de standaard Broadcom-processor, die wordt gebruikt in de firmware van kabelmodems van verschillende fabrikanten. Bij het parseren van verzoeken in JSON-formaat via WebSocket kan, als gevolg van onjuiste gegevensvalidatie, de staart van de in het verzoek gespecificeerde parameters naar een gebied buiten de toegewezen buffer worden geschreven en een deel van de stapel overschrijven, inclusief het retouradres en de opgeslagen registerwaarden.
Momenteel is de kwetsbaarheid bevestigd in de volgende apparaten die tijdens het onderzoek beschikbaar waren voor onderzoek:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfplank SB8200.
Bron: opennet.ru