Дослідники безпеки з компанії Lyrebirds
Проблема викликана переповненням буфера в сервісі, що надає доступ до даних спектрального аналізатора, що дозволяє операторам діагностувати проблеми та враховувати рівень перешкод під час кабельного підключення. Сервіс обробляє запити через jsonrpc і приймає з'єднання лише у внутрішній мережі. Експлуатація вразливості в сервісі виявилася можливою завдяки двом факторам — сервіс не був захищений від застосування техніки.
Техніка DNS rebinding дозволяє при відкритті користувачем певної сторінки в браузері встановити WebSocket-з'єднання з мережевим сервісом у внутрішній мережі, недоступним для прямого звернення через інтернет. Для обходу застосовуваної у браузерах захисту від виходу межі області поточного домену (
Після отримання можливості надсилання запиту до модему, атакуючий може експлуатувати переповнення буфера в обробнику спектрального аналізатора, яке дозволяє досягти виконання коду з правами root на рівні прошивки. Після цього атакуючий отримує повний контроль над пристроєм, що дозволяє змінити будь-які налаштування (наприклад, підміняти DNS-відповіді через перенаправлення DNS на свій сервер), відключити оновлення прошивки, підмінити прошивку, перенаправити трафік або вклинитися в мережеві з'єднання (MiTM).
Вразливість присутня у типовому обробнику Broadcom, який використовується у прошивках кабельних модемів різних виробників. У процесі розбору запитів, що надходять через WebSocket у форматі JSON, через неналежну перевірку даних хвіст зазначених у запиті параметрів може бути записаний в область за межами виділеного буфера і переписати частину стека, в тому числі, адресу повернення та збережені значення регістрів.
В даний час вразливість підтверджена в наступних пристроях, які були доступні для вивчення у процесі дослідження:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfboard SB8200.
Джерело: opennet.ru