Badacze bezpieczeństwa z Lyrebirds
Problemem jest przepełnienie bufora w usłudze udostępniającej dane z analizatora widma, co pozwala operatorom diagnozować problemy i uwzględniać poziom zakłóceń na połączeniach kablowych. Usługa przetwarza żądania poprzez jsonrpc i akceptuje połączenia tylko w sieci wewnętrznej. Wykorzystanie luki w serwisie było możliwe dzięki dwóm czynnikom – serwis nie był chroniony przed wykorzystaniem technologii”
Technika „ponownego wiązania DNS” pozwala, gdy użytkownik otworzy określoną stronę w przeglądarce, nawiązać połączenie WebSocket z usługą sieciową w sieci wewnętrznej, do której nie można uzyskać bezpośredniego dostępu przez Internet. Aby ominąć ochronę przeglądarki przed opuszczeniem zakresu bieżącej domeny (
Po wysłaniu żądania do modemu osoba atakująca może wykorzystać przepełnienie bufora w procedurze obsługi analizatora widma, co umożliwia wykonanie kodu z uprawnieniami roota na poziomie oprogramowania sprzętowego. Następnie atakujący uzyskuje pełną kontrolę nad urządzeniem, umożliwiając mu zmianę dowolnych ustawień (na przykład zmianę odpowiedzi DNS poprzez przekierowanie DNS na swój serwer), wyłączenie aktualizacji oprogramowania sprzętowego, zmianę oprogramowania sprzętowego, przekierowanie ruchu lub zaklinowanie się w połączeniach sieciowych ( MiTM).
Luka występuje w standardowym procesorze Broadcom, który jest wykorzystywany w oprogramowaniu modemów kablowych różnych producentów. Podczas analizowania żądań w formacie JSON poprzez WebSocket, w wyniku nieprawidłowej walidacji danych, koniec parametrów określonych w żądaniu może zostać zapisany w obszarze poza przydzielonym buforem i nadpisać część stosu, w tym adres zwrotny i zapisane wartości rejestrów.
Obecnie luka została potwierdzona w następujących urządzeniach, które były dostępne do badania w trakcie badania:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Deska surfingowa SB8200.
Źródło: opennet.ru