Badacze bezpieczeństwa z Lyrebirds Informacja o () w modemach kablowych opartych na chipach Broadcom, pozwalających na pełną kontrolę nad urządzeniem. Według badaczy problem dotyczy około 200 milionów urządzeń w Europie, używanych przez różnych operatorów telewizji kablowej. Przygotowany do sprawdzenia modemu , który ocenia aktywność problematycznej służby, a także pracownika do przeprowadzenia ataku po otwarciu w przeglądarce użytkownika specjalnie zaprojektowanej strony.
Problemem jest przepełnienie bufora w usłudze udostępniającej dane z analizatora widma, co pozwala operatorom diagnozować problemy i uwzględniać poziom zakłóceń na połączeniach kablowych. Usługa przetwarza żądania poprzez jsonrpc i akceptuje połączenia tylko w sieci wewnętrznej. Wykorzystanie luki w serwisie było możliwe dzięki dwóm czynnikom – serwis nie był chroniony przed wykorzystaniem technologii”„z powodu nieprawidłowego wykorzystania WebSocket i w większości przypadków zapewniany dostęp w oparciu o predefiniowane hasło inżynierskie, wspólne dla wszystkich urządzeń danej serii modeli (analizator widma to osobna usługa na własnym porcie sieciowym (zwykle 8080 lub 6080) z własnym hasło dostępu inżynieryjnego, które nie pokrywa się z hasłem z interfejsu WWW administratora).
Technika „ponownego wiązania DNS” pozwala, gdy użytkownik otworzy określoną stronę w przeglądarce, nawiązać połączenie WebSocket z usługą sieciową w sieci wewnętrznej, do której nie można uzyskać bezpośredniego dostępu przez Internet. Aby ominąć ochronę przeglądarki przed opuszczeniem zakresu bieżącej domeny () stosowana jest zmiana nazwy hosta w DNS – serwer DNS atakującego jest skonfigurowany tak, aby wysyłał jeden po drugim dwa adresy IP: najpierw wysyłane jest żądanie na rzeczywisty adres IP serwera ze stroną, a następnie adres wewnętrzny urządzenie zostało zwrócone (na przykład 192.168.10.1). Czas życia (TTL) pierwszej odpowiedzi jest ustawiony na wartość minimalną, dzięki czemu przeglądarka otwierając stronę ustala prawdziwy adres IP serwera atakującego i ładuje zawartość strony. Strona uruchamia kod JavaScript, który czeka na wygaśnięcie TTL i wysyła drugie żądanie, które teraz identyfikuje hosta jako 192.168.10.1, co umożliwia JavaScriptowi dostęp do usługi w sieci lokalnej z pominięciem ograniczenia cross-origin.
Po wysłaniu żądania do modemu osoba atakująca może wykorzystać przepełnienie bufora w procedurze obsługi analizatora widma, co umożliwia wykonanie kodu z uprawnieniami roota na poziomie oprogramowania sprzętowego. Następnie atakujący uzyskuje pełną kontrolę nad urządzeniem, umożliwiając mu zmianę dowolnych ustawień (na przykład zmianę odpowiedzi DNS poprzez przekierowanie DNS na swój serwer), wyłączenie aktualizacji oprogramowania sprzętowego, zmianę oprogramowania sprzętowego, przekierowanie ruchu lub zaklinowanie się w połączeniach sieciowych ( MiTM).
Luka występuje w standardowym procesorze Broadcom, który jest wykorzystywany w oprogramowaniu modemów kablowych różnych producentów. Podczas analizowania żądań w formacie JSON poprzez WebSocket, w wyniku nieprawidłowej walidacji danych, koniec parametrów określonych w żądaniu może zostać zapisany w obszarze poza przydzielonym buforem i nadpisać część stosu, w tym adres zwrotny i zapisane wartości rejestrów.
Obecnie luka została potwierdzona w następujących urządzeniach, które były dostępne do badania w trakcie badania:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Deska surfingowa SB8200.
Źródło: opennet.ru