Studiues të sigurisë nga Lyrebirds informacion rreth () në modemet kabllore të bazuara në çipat Broadcom, duke lejuar kontroll të plotë mbi pajisjen. Studiuesit vlerësojnë se afërsisht 200 milionë pajisje në Evropë, të përdorura nga operatorë të ndryshëm kabllorë, janë të prekura nga problemi. Për të testuar modemin tuaj, një , duke vlerësuar aktivitetin e shërbimit problematik, si dhe punën për të kryer një sulm kur një faqe e projektuar posaçërisht hapet në shfletuesin e përdoruesit.
Problemi u shkaktua nga një mbingarkesë e memorjes së përkohshme në një shërbim që ofron qasje në të dhënat e analizuesit të spektrit, duke u lejuar operatorëve të diagnostikojnë problemet dhe të monitorojnë nivelet e ndërhyrjeve në lidhjet kabllore. Shërbimi përpunon kërkesat nëpërmjet jsonrpc dhe pranon vetëm lidhje në rrjetin e brendshëm. Shfrytëzimi i dobësisë në shërbim ishte i mundur për shkak të dy faktorëve: shërbimi nuk ishte i mbrojtur nga përdorimi i ""për shkak të përdorimit të gabuar të WebSocket dhe në shumicën e rasteve ofrohet qasje bazuar në një fjalëkalim inxhinierik të paracaktuar, të përbashkët për të gjitha pajisjet e diapazonit të modelit (analizuesi i spektrit është një shërbim i veçantë në portin e tij të rrjetit (zakonisht 8080 ose 6080) me fjalëkalimin e tij të qasjes inxhinierike, i cili nuk mbivendoset me fjalëkalimin nga ndërfaqja web e administratorit).
Teknika "rilidhja e DNS" lejon që, kur një përdorues hap një faqe specifike në një shfletues, të krijojë një lidhje WebSocket me një shërbim rrjeti në rrjetin e brendshëm që nuk është i arritshëm direkt nëpërmjet internetit. Për të anashkaluar mbrojtjen e shfletuesit kundër tejkalimit të domenit aktual () Përdoret një ndryshim i emrit të hostit DNS. Serveri DNS i sulmuesit është konfiguruar për të kthyer në mënyrë alternative dy adresa IP: kërkesa e parë kthen adresën reale IP të serverit që strehon faqen, e ndjekur nga adresa e brendshme e pajisjes (p.sh., 192.168.10.1). Koha e qëndrueshmërisë (TTL) për përgjigjen e parë është vendosur në një vlerë minimale, kështu që kur hapet faqja, shfletuesi përcakton adresën reale IP të serverit të sulmuesit dhe ngarkon përmbajtjen e faqes. Kodi JavaScript ekzekutohet në faqe, e cila pret që TTL të skadojë dhe dërgon një kërkesë të dytë, e cila tani identifikon hostin si 192.168.10.1, duke lejuar që JavaScript të hyjë në një shërbim brenda rrjetit lokal, duke anashkaluar kufizimin me origjinë të kryqëzuar.
Pasi fiton akses në modem, një sulmues mund të shfrytëzojë një mbingarkesë të buffer-it në trajtuesin e analizuesit të spektrit, duke lejuar ekzekutimin e kodit me privilegje root në nivelin e firmware-it. Kjo i lejon sulmuesit të fitojë kontroll të plotë mbi pajisjen, duke i lejuar ata të ndryshojnë çdo cilësim (për shembull, të falsifikojnë përgjigjet DNS duke ridrejtuar DNS-në në një server të personalizuar), të çaktivizojnë përditësimet e firmware-it, të falsifikojnë firmware-in, të ridrejtojnë trafikun ose të ndërhyjnë në lidhjet e rrjetit (MiTM).
Dobësia ekziston në një trajtues standard Broadcom të përdorur në firmware-in e modemit kabllor nga prodhues të ndryshëm. Gjatë analizimit të kërkesave hyrëse të WebSocket në formatin JSON, validimi i papërshtatshëm i të dhënave mund të shkaktojë që pjesa e poshtme e parametrave të kërkesës të shkruhet në një zonë jashtë buffer-it të alokuar, duke mbishkruar një pjesë të pirgut, duke përfshirë adresën e kthimit dhe vlerat e ruajtura të regjistrit.
Aktualisht, cenueshmëria është konfirmuar në pajisjet e mëposhtme që ishin të disponueshme për studim gjatë procesit të kërkimit:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000;
- Teknikolor TC7230, TC4400;
- KOMPALI 7284E, 7486E;
- Dërrasë surfi SB8200.
Burimi: opennet.ru
