นักวิจัยด้านความปลอดภัยจาก Lyrebirds
ปัญหามีสาเหตุมาจากบัฟเฟอร์ล้นในบริการที่ให้การเข้าถึงข้อมูลเครื่องวิเคราะห์สเปกตรัม ซึ่งช่วยให้ผู้ปฏิบัติงานสามารถวินิจฉัยปัญหาและคำนึงถึงระดับการรบกวนในการเชื่อมต่อสายเคเบิล บริการประมวลผลคำขอผ่าน jsonrpc และยอมรับการเชื่อมต่อบนเครือข่ายภายในเท่านั้น การใช้ประโยชน์จากช่องโหว่ในบริการเกิดขึ้นได้เนื่องจากปัจจัยสองประการ - บริการไม่ได้รับการปกป้องจากการใช้เทคโนโลยี "
เทคนิค “DNS rebinding” อนุญาตให้เมื่อผู้ใช้เปิดเพจบางหน้าในเบราว์เซอร์ เพื่อสร้างการเชื่อมต่อ WebSocket กับบริการเครือข่ายบนเครือข่ายภายในที่ไม่สามารถเข้าถึงได้สำหรับการเข้าถึงโดยตรงผ่านทางอินเทอร์เน็ต เพื่อเลี่ยงผ่านการป้องกันเบราว์เซอร์ไม่ให้ออกจากขอบเขตของโดเมนปัจจุบัน (
เมื่อสามารถส่งคำขอไปยังโมเด็มได้ ผู้โจมตีสามารถใช้ประโยชน์จากบัฟเฟอร์ล้นในตัวจัดการวิเคราะห์สเปกตรัม ซึ่งอนุญาตให้เรียกใช้โค้ดด้วยสิทธิ์รูทที่ระดับเฟิร์มแวร์ หลังจากนั้น ผู้โจมตีจะสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์ โดยอนุญาตให้เขาเปลี่ยนการตั้งค่าใดๆ (เช่น เปลี่ยนการตอบสนอง DNS ผ่านการเปลี่ยนเส้นทาง DNS ไปยังเซิร์ฟเวอร์ของเขา) ปิดการอัพเดตเฟิร์มแวร์ เปลี่ยนเฟิร์มแวร์ เปลี่ยนเส้นทางการรับส่งข้อมูล หรือลิ่มเข้าสู่การเชื่อมต่อเครือข่าย (MiTM) ).
ช่องโหว่นี้มีอยู่ในโปรเซสเซอร์ Broadcom มาตรฐานซึ่งใช้ในเฟิร์มแวร์ของเคเบิลโมเด็มจากผู้ผลิตหลายราย เมื่อแยกวิเคราะห์คำขอในรูปแบบ JSON ผ่าน WebSocket เนื่องจากการตรวจสอบข้อมูลที่ไม่เหมาะสม ส่วนท้ายของพารามิเตอร์ที่ระบุในคำขอสามารถเขียนลงในพื้นที่นอกบัฟเฟอร์ที่จัดสรร และเขียนทับส่วนของสแต็ก รวมถึงที่อยู่ผู้ส่งและค่าการลงทะเบียนที่บันทึกไว้
ขณะนี้ช่องโหว่ได้รับการยืนยันในอุปกรณ์ต่อไปนี้ที่พร้อมสำหรับการศึกษาระหว่างการวิจัย:
- สาเจมคอม F@st 3890, 3686;
- เน็ตเกียร์ CG3700EMR, C6250EMR, CM1000 ;
- เทคนิคคัลเลอร์ TC7230, TC4400;
- คอมปาล 7284E, 7486E;
- เซิร์ฟบอร์ด SB8200.
ที่มา: opennet.ru