Säkerhetsforskare från Lyrebirds information om () i kabelmodem baserade på Broadcom-chips, vilket ger full kontroll över enheten. Enligt forskare är cirka 200 miljoner enheter i Europa, som används av olika kabeloperatörer, drabbade av problemet. Förberedd att kontrollera ditt modem , som utvärderar aktiviteten hos den problematiska tjänsten, såväl som arbetaren att utföra en attack när en specialdesignad sida öppnas i användarens webbläsare.
Problemet orsakas av ett buffertspill i en tjänst som ger tillgång till spektrumanalysatordata, vilket gör att operatörer kan diagnostisera problem och ta hänsyn till störningsnivån på kabelanslutningar. Tjänsten behandlar förfrågningar via jsonrpc och accepterar endast anslutningar på det interna nätverket. Utnyttjande av sårbarheten i tjänsten var möjlig på grund av två faktorer - tjänsten var inte skyddad från användning av teknik ""på grund av felaktig användning av WebSocket och i de flesta fall tillhandahållen åtkomst baserat på ett fördefinierat ingenjörslösenord, gemensamt för alla enheter i modellserien (spektrumanalysatorn är en separat tjänst på sin egen nätverksport (vanligtvis 8080 eller 6080) med sin egen teknisk åtkomstlösenord, som inte överlappar med ett lösenord från administratörens webbgränssnitt).
Tekniken "DNS rebinding" tillåter, när en användare öppnar en viss sida i en webbläsare, att upprätta en WebSocket-anslutning med en nätverkstjänst på det interna nätverket som inte är tillgänglig för direkt åtkomst via Internet. För att kringgå webbläsarskydd mot att lämna omfattningen av den aktuella domänen () en ändring av värdnamnet i DNS tillämpas - angriparnas DNS-server är konfigurerad att skicka två IP-adresser en i taget: den första begäran skickas till den riktiga IP-adressen för servern med sidan, och sedan den interna adressen till enheten returneras (till exempel 192.168.10.1). Time to live (TTL) för det första svaret är satt till ett minimivärde, så när du öppnar sidan bestämmer webbläsaren den verkliga IP-adressen för angriparens server och laddar innehållet på sidan. Sidan kör JavaScript-kod som väntar på att TTL ska löpa ut och skickar en andra begäran, som nu identifierar värden som 192.168.10.1, vilket tillåter JavaScript att komma åt tjänsten inom det lokala nätverket, och kringgå begränsningen för korsning.
När en angripare väl har kunnat skicka en begäran till modemet kan en angripare utnyttja ett buffertspill i spektrumanalysatorns hanterare, vilket gör att kod kan exekveras med rotbehörighet på firmwarenivå. Efter detta får angriparen full kontroll över enheten, vilket gör att han kan ändra alla inställningar (till exempel ändra DNS-svar genom DNS-omdirigering till sin server), inaktivera firmwareuppdateringar, ändra firmware, omdirigera trafik eller kila in i nätverksanslutningar (MiTM ).
Sårbarheten finns i den vanliga Broadcom-processorn, som används i firmware till kabelmodem från olika tillverkare. Vid analys av förfrågningar i JSON-format via WebSocket, på grund av felaktig datavalidering, kan svansen av parametrarna som anges i begäran skrivas till ett område utanför den allokerade bufferten och skriva över en del av stacken, inklusive returadressen och sparade registervärden.
För närvarande har sårbarheten bekräftats i följande enheter som var tillgängliga för studier under forskningen:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000 ;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfbräda SB8200.
Källa: opennet.ru