Pesquisadores de segurança da Lyrebirds informação sobre () em modems a cabo baseados em chips Broadcom, permitindo controle total do dispositivo. Segundo os investigadores, cerca de 200 milhões de dispositivos na Europa, utilizados por diferentes operadores de cabo, são afetados pelo problema. Preparado para verificar seu modem , que avalia a atividade do serviço problemático, bem como o trabalhador realizar um ataque quando uma página especialmente projetada é aberta no navegador do usuário.
O problema é causado por um buffer overflow num serviço que dá acesso aos dados do analisador de espectro, o que permite às operadoras diagnosticar problemas e ter em conta o nível de interferência nas ligações dos cabos. O serviço processa solicitações via jsonrpc e aceita conexões apenas na rede interna. A exploração da vulnerabilidade no serviço foi possível devido a dois fatores - o serviço não estava protegido do uso de tecnologia”"devido ao uso incorreto do WebSocket e na maioria dos casos acesso fornecido com base em uma senha de engenharia pré-definida, comum a todos os dispositivos da série de modelos (o analisador de espectro é um serviço separado em sua própria porta de rede (geralmente 8080 ou 6080) com seu próprio senha de acesso de engenharia, que não se sobrepõe a uma senha da interface web do administrador).
A técnica “DNS rebinding” permite, quando um usuário abre uma determinada página em um navegador, estabelecer uma conexão WebSocket com um serviço de rede na rede interna que não está acessível para acesso direto via Internet. Para ignorar a proteção do navegador contra sair do escopo do domínio atual () é aplicada uma mudança no nome do host no DNS - o servidor DNS dos invasores é configurado para enviar dois endereços IP um por um: a primeira solicitação é enviada para o IP real do servidor com a página e, em seguida, o endereço interno de o dispositivo é retornado (por exemplo, 192.168.10.1). O tempo de vida (TTL) da primeira resposta é definido como um valor mínimo, portanto, ao abrir a página, o navegador determina o IP real do servidor do invasor e carrega o conteúdo da página. A página executa o código JavaScript que espera a expiração do TTL e envia uma segunda solicitação, que agora identifica o host como 192.168.10.1, o que permite que o JavaScript acesse o serviço dentro da rede local, contornando a restrição de origem cruzada.
Uma vez capaz de enviar uma solicitação ao modem, um invasor pode explorar um buffer overflow no manipulador do analisador de espectro, que permite que o código seja executado com privilégios de root no nível do firmware. Depois disso, o invasor ganha controle total sobre o dispositivo, permitindo-lhe alterar quaisquer configurações (por exemplo, alterar as respostas de DNS por meio do redirecionamento de DNS para seu servidor), desabilitar atualizações de firmware, alterar o firmware, redirecionar o tráfego ou bloquear conexões de rede (MiTM ).
A vulnerabilidade está presente no processador padrão Broadcom, que é usado no firmware de modems a cabo de diversos fabricantes. Ao analisar solicitações no formato JSON via WebSocket, devido à validação inadequada de dados, a parte final dos parâmetros especificados na solicitação pode ser gravada em uma área fora do buffer alocado e sobrescrever parte da pilha, incluindo o endereço de retorno e os valores de registro salvos.
Atualmente, a vulnerabilidade foi confirmada nos seguintes dispositivos que estavam disponíveis para estudo durante a pesquisa:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Prancha de surf SB8200.
Fonte: opennet.ru