นักวิจัยด้านความปลอดภัยจาก Lyrebirds ข้อมูลเกี่ยวกับ () ในเคเบิลโมเด็มที่ใช้ชิป Broadcom ช่วยให้สามารถควบคุมอุปกรณ์ได้เต็มรูปแบบ ตามที่นักวิจัยระบุว่า อุปกรณ์ประมาณ 200 ล้านเครื่องในยุโรปที่ใช้โดยผู้ให้บริการเคเบิลหลายราย ได้รับผลกระทบจากปัญหานี้ เตรียมตรวจสอบโมเด็มของคุณ ซึ่งประเมินกิจกรรมของบริการที่มีปัญหาตลอดจนพนักงาน เพื่อทำการโจมตีเมื่อมีการเปิดเพจที่ออกแบบมาเป็นพิเศษในเบราว์เซอร์ของผู้ใช้
ปัญหามีสาเหตุมาจากบัฟเฟอร์ล้นในบริการที่ให้การเข้าถึงข้อมูลเครื่องวิเคราะห์สเปกตรัม ซึ่งช่วยให้ผู้ปฏิบัติงานสามารถวินิจฉัยปัญหาและคำนึงถึงระดับการรบกวนในการเชื่อมต่อสายเคเบิล บริการประมวลผลคำขอผ่าน jsonrpc และยอมรับการเชื่อมต่อบนเครือข่ายภายในเท่านั้น การใช้ประโยชน์จากช่องโหว่ในบริการเกิดขึ้นได้เนื่องจากปัจจัยสองประการ - บริการไม่ได้รับการปกป้องจากการใช้เทคโนโลยี ""เนื่องจากการใช้ WebSocket ไม่ถูกต้อง และในกรณีส่วนใหญ่ให้การเข้าถึงตามรหัสผ่านทางวิศวกรรมที่กำหนดไว้ล่วงหน้า ซึ่งเป็นเรื่องปกติสำหรับอุปกรณ์ทั้งหมดในซีรีส์รุ่น (เครื่องวิเคราะห์สเปกตรัมเป็นบริการแยกต่างหากบนพอร์ตเครือข่ายของตัวเอง (ปกติคือ 8080 หรือ 6080) ด้วยตัวมันเอง รหัสผ่านการเข้าถึงทางวิศวกรรมซึ่งไม่ทับซ้อนกับรหัสผ่านจากเว็บอินเตอร์เฟสของผู้ดูแลระบบ)
เทคนิค “DNS rebinding” อนุญาตให้เมื่อผู้ใช้เปิดเพจบางหน้าในเบราว์เซอร์ เพื่อสร้างการเชื่อมต่อ WebSocket กับบริการเครือข่ายบนเครือข่ายภายในที่ไม่สามารถเข้าถึงได้สำหรับการเข้าถึงโดยตรงผ่านทางอินเทอร์เน็ต เพื่อเลี่ยงผ่านการป้องกันเบราว์เซอร์ไม่ให้ออกจากขอบเขตของโดเมนปัจจุบัน () มีการเปลี่ยนชื่อโฮสต์ใน DNS - เซิร์ฟเวอร์ DNS ของผู้โจมตีได้รับการกำหนดค่าให้ส่งที่อยู่ IP สองแห่งทีละรายการ: คำขอแรกจะถูกส่งไปยัง IP จริงของเซิร์ฟเวอร์พร้อมกับเพจ จากนั้นจึงส่งที่อยู่ภายในของ อุปกรณ์ถูกส่งคืน (เช่น 192.168.10.1) Time to Live (TTL) สำหรับการตอบกลับครั้งแรกถูกกำหนดไว้ที่ค่าต่ำสุด ดังนั้นเมื่อเปิดเพจ เบราว์เซอร์จะกำหนด IP ที่แท้จริงของเซิร์ฟเวอร์ของผู้โจมตีและโหลดเนื้อหาของเพจ หน้านี้เรียกใช้โค้ด JavaScript ที่รอให้ TTL หมดอายุและส่งคำขอที่สอง ซึ่งขณะนี้ระบุโฮสต์เป็น 192.168.10.1 ซึ่งอนุญาตให้ JavaScript เข้าถึงบริการภายในเครือข่ายท้องถิ่น โดยข้ามข้อจำกัดข้ามต้นทาง
เมื่อสามารถส่งคำขอไปยังโมเด็มได้ ผู้โจมตีสามารถใช้ประโยชน์จากบัฟเฟอร์ล้นในตัวจัดการวิเคราะห์สเปกตรัม ซึ่งอนุญาตให้เรียกใช้โค้ดด้วยสิทธิ์รูทที่ระดับเฟิร์มแวร์ หลังจากนั้น ผู้โจมตีจะสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์ โดยอนุญาตให้เขาเปลี่ยนการตั้งค่าใดๆ (เช่น เปลี่ยนการตอบสนอง DNS ผ่านการเปลี่ยนเส้นทาง DNS ไปยังเซิร์ฟเวอร์ของเขา) ปิดการอัพเดตเฟิร์มแวร์ เปลี่ยนเฟิร์มแวร์ เปลี่ยนเส้นทางการรับส่งข้อมูล หรือลิ่มเข้าสู่การเชื่อมต่อเครือข่าย (MiTM) ).
ช่องโหว่นี้มีอยู่ในโปรเซสเซอร์ Broadcom มาตรฐานซึ่งใช้ในเฟิร์มแวร์ของเคเบิลโมเด็มจากผู้ผลิตหลายราย เมื่อแยกวิเคราะห์คำขอในรูปแบบ JSON ผ่าน WebSocket เนื่องจากการตรวจสอบข้อมูลที่ไม่เหมาะสม ส่วนท้ายของพารามิเตอร์ที่ระบุในคำขอสามารถเขียนลงในพื้นที่นอกบัฟเฟอร์ที่จัดสรร และเขียนทับส่วนของสแต็ก รวมถึงที่อยู่ผู้ส่งและค่าการลงทะเบียนที่บันทึกไว้
ขณะนี้ช่องโหว่ได้รับการยืนยันในอุปกรณ์ต่อไปนี้ที่พร้อมสำหรับการศึกษาระหว่างการวิจัย:
- สาเจมคอม F@st 3890, 3686;
- เน็ตเกียร์ CG3700EMR, C6250EMR, CM1000 ;
- เทคนิคคัลเลอร์ TC7230, TC4400;
- คอมปาล 7284E, 7486E;
- เซิร์ฟบอร์ด SB8200.
ที่มา: opennet.ru