Исследователи безопасности из компании Lyrebirds
Проблема вызвана переполнением буфера в сервисе, предоставляющем доступ к данным спектрального анализатора, позволяющего операторам диагностировать проблемы и учитывать уровень помех при кабельном подключении. Сервис обрабатывает запросы чрез jsonrpc и принимает соединения только во внутренней сети. Эксплуатация уязвимости в сервисе оказалась возможна благодаря двум факторам — сервис не был защищён от применения техники «
Техника «DNS rebinding» позволяет при открытии пользователем определённой страницы в браузере установить WebSocket-соединение с сетевым сервисом во внутренней сети, недоступным для прямого обращения через интернет. Для обхода применяемой в браузерах защиты от выхода за пределы области текущего домена (
После получения возможности отправки запроса к модему, атакующий может эксплуатировать переполнение буфера в обработчике спектрального анализатора, которое позволяет добиться выполнения кода с правами root на уровне прошивки. После этого атакующий получает полный контроль над устройством, позволяющий изменить любые настройки (например, подменять DNS-ответы через перенаправление DNS на свой сервер), отключить обновление прошивки, подменить прошивку, перенаправить трафик или вклиниться в сетевые соединения (MiTM).
Уязвимость присутствует в типовом обработчике Broadcom, который используется в прошивках кабельных модемов различных производителей. В процессе разбора поступающих через WebSocket запросов в формате JSON, из-за ненадлежащей проверки данных хвост указанных в запросе параметров может быть записан в область за пределами выделенного буфера и переписать часть стека, в том числе, адрес возврата и сохранённые значения регистров.
В настоящее время уязвимость подтверждена в следующих устройствах, которые были доступны для изучения в процессе исследования:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfboard SB8200.
Sursa: opennet.ru