Дослідники безпеки з компанії Lyrebirds відомості про () у кабельних модемах на базі чіпів Broadcom, що дозволяє отримати повний контроль за пристроєм. За припущенням дослідників проблемі схильні близько 200 мільйонів пристроїв у Європі, що застосовуються різними кабельними операторами. Для перевірки свого модему підготовлено , що оцінює активність проблемного сервісу, а також робітник для здійснення атаки при відкритті у браузері користувача спеціально оформленої сторінки.
Проблема викликана переповненням буфера в сервісі, що надає доступ до даних спектрального аналізатора, що дозволяє операторам діагностувати проблеми та враховувати рівень перешкод під час кабельного підключення. Сервіс обробляє запити через jsonrpc і приймає з'єднання лише у внутрішній мережі. Експлуатація вразливості в сервісі виявилася можливою завдяки двом факторам — сервіс не був захищений від застосування техніки.» через некоректне використання WebSocket і в більшості випадків надавав доступ на основі певного інженерного пароля, спільного для всіх пристроїв модельного ряду (спектральний аналізатор є окремим сервісом на своєму мережевому порту (зазвичай 8080 або 6080) зі своїм інженерним паролем доступу, який не перетинається з паролем від веб-інтерфейсу адміністратора).
Техніка DNS rebinding дозволяє при відкритті користувачем певної сторінки в браузері встановити WebSocket-з'єднання з мережевим сервісом у внутрішній мережі, недоступним для прямого звернення через інтернет. Для обходу застосовуваної у браузерах захисту від виходу межі області поточного домену () застосовується зміна імені хоста в DNS - на DNS-сервері атакуючих налаштовується почергова віддача двох IP-адрес: на перший запит віддається реальний IP сервера зі сторінкою, а потім повертається внутрішня адреса пристрою (наприклад, 192.168.10.1). Час життя (TTL) для першої відповіді виставляється в мінімальне значення, тому при відкритті сторінки браузер визначає реальний IP-сервера атакуючого і завантажує вміст сторінки. На сторінці запускається JavaScript-код, який очікує закінчення TTL і відправляє другий запит, який тепер визначає хост як 192.168.10.1, що дозволяє JavaScript звернутися до сервісу всередині локальної мережі, обійшовши обмеження cross-origin.
Після отримання можливості надсилання запиту до модему, атакуючий може експлуатувати переповнення буфера в обробнику спектрального аналізатора, яке дозволяє досягти виконання коду з правами root на рівні прошивки. Після цього атакуючий отримує повний контроль над пристроєм, що дозволяє змінити будь-які налаштування (наприклад, підміняти DNS-відповіді через перенаправлення DNS на свій сервер), відключити оновлення прошивки, підмінити прошивку, перенаправити трафік або вклинитися в мережеві з'єднання (MiTM).
Вразливість присутня у типовому обробнику Broadcom, який використовується у прошивках кабельних модемів різних виробників. У процесі розбору запитів, що надходять через WebSocket у форматі JSON, через неналежну перевірку даних хвіст зазначених у запиті параметрів може бути записаний в область за межами виділеного буфера і переписати частину стека, в тому числі, адресу повернення та збережені значення регістрів.
В даний час вразливість підтверджена в наступних пристроях, які були доступні для вивчення у процесі дослідження:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfboard SB8200.
Джерело: opennet.ru