Säkerhetsforskare från Lyrebirds
Problemet orsakas av ett buffertspill i en tjänst som ger tillgång till spektrumanalysatordata, vilket gör att operatörer kan diagnostisera problem och ta hänsyn till störningsnivån på kabelanslutningar. Tjänsten behandlar förfrågningar via jsonrpc och accepterar endast anslutningar på det interna nätverket. Utnyttjande av sårbarheten i tjänsten var möjlig på grund av två faktorer - tjänsten var inte skyddad från användning av teknik "
Tekniken "DNS rebinding" tillåter, när en användare öppnar en viss sida i en webbläsare, att upprätta en WebSocket-anslutning med en nätverkstjänst på det interna nätverket som inte är tillgänglig för direkt åtkomst via Internet. För att kringgå webbläsarskydd mot att lämna omfattningen av den aktuella domänen (
När en angripare väl har kunnat skicka en begäran till modemet kan en angripare utnyttja ett buffertspill i spektrumanalysatorns hanterare, vilket gör att kod kan exekveras med rotbehörighet på firmwarenivå. Efter detta får angriparen full kontroll över enheten, vilket gör att han kan ändra alla inställningar (till exempel ändra DNS-svar genom DNS-omdirigering till sin server), inaktivera firmwareuppdateringar, ändra firmware, omdirigera trafik eller kila in i nätverksanslutningar (MiTM ).
Sårbarheten finns i den vanliga Broadcom-processorn, som används i firmware till kabelmodem från olika tillverkare. Vid analys av förfrågningar i JSON-format via WebSocket, på grund av felaktig datavalidering, kan svansen av parametrarna som anges i begäran skrivas till ett område utanför den allokerade bufferten och skriva över en del av stacken, inklusive returadressen och sparade registervärden.
För närvarande har sårbarheten bekräftats i följande enheter som var tillgängliga för studier under forskningen:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfbräda SB8200.
Källa: opennet.ru