Lyrebirds xavfsizlik tadqiqotchilari haqida ma'lumot () Broadcom chiplariga asoslangan kabel modemlarida, qurilma ustidan to'liq nazorat qilish imkonini beradi. Tadqiqotchilarning fikriga ko'ra, Evropada turli kabel operatorlari tomonidan ishlatiladigan 200 millionga yaqin qurilmalar muammodan ta'sirlangan. Modemingizni tekshirishga tayyor , muammoli xizmatning, shuningdek, ishchining faoliyatini baholaydi foydalanuvchi brauzerida maxsus yaratilgan sahifa ochilganda hujumni amalga oshirish.
Muammo operatorlarga muammolarni tashxislash va kabel ulanishlarida shovqin darajasini hisobga olish imkonini beruvchi spektr analizatori ma'lumotlariga kirishni ta'minlaydigan xizmatda buferning to'lib ketishidan kelib chiqadi. Xizmat jsonrpc orqali so'rovlarni qayta ishlaydi va faqat ichki tarmoqdagi ulanishlarni qabul qiladi. Xizmatdagi zaiflikdan foydalanish ikki omil tufayli mumkin edi - xizmat texnologiyadan foydalanishdan himoyalanmagan ""WebSocket-dan noto'g'ri foydalanish va ko'p hollarda model seriyasining barcha qurilmalari uchun umumiy bo'lgan oldindan belgilangan muhandislik paroli asosida kirish ta'minlanganligi sababli (spektr analizatori o'z tarmoq portida (odatda 8080 yoki 6080) alohida xizmatdir). muhandislik kirish paroli, bu administrator veb-interfeysi paroliga mos kelmaydi).
"DNS qayta ulash" texnikasi foydalanuvchi brauzerda ma'lum bir sahifani ochganda, Internet orqali to'g'ridan-to'g'ri kirish imkoni bo'lmagan ichki tarmoqdagi tarmoq xizmati bilan WebSocket ulanishini o'rnatish imkonini beradi. Joriy domen doirasidan chiqib ketishdan brauzer himoyasini chetlab o'tish uchun () DNS-da xost nomini o'zgartirish qo'llaniladi - buzg'unchilarning DNS serveri ikkita IP-manzilni birma-bir yuborish uchun sozlangan: birinchi so'rov sahifa bilan serverning haqiqiy IP-ga, so'ngra ichki manzilga yuboriladi. qurilma qaytariladi (masalan, 192.168.10.1). Birinchi javob uchun yashash vaqti (TTL) minimal qiymatga o'rnatiladi, shuning uchun sahifani ochishda brauzer tajovuzkor serverining haqiqiy IP-manzilini aniqlaydi va sahifa mazmunini yuklaydi. Sahifa TTL muddati tugashini kutuvchi JavaScript kodini ishga tushiradi va ikkinchi so‘rovni yuboradi, u endi xostni 192.168.10.1 sifatida belgilaydi, bu JavaScript-ga mahalliy tarmoq ichida o‘zaro kelib chiqish cheklovini chetlab o‘tib xizmatga kirish imkonini beradi.
Modemga so'rov yuborish imkoniga ega bo'lgandan so'ng, tajovuzkor spektr analizatori ishlov beruvchisida bufer to'lib ketishidan foydalanishi mumkin, bu kodni proshivka darajasida ildiz huquqlari bilan bajarishga imkon beradi. Shundan so'ng, tajovuzkor qurilma ustidan to'liq nazoratga ega bo'lib, unga har qanday sozlamalarni o'zgartirish (masalan, DNS-javoblarni o'z serveriga qayta yo'naltirish orqali o'zgartirish), proshivka yangilanishlarini o'chirish, proshivkani o'zgartirish, trafikni qayta yo'naltirish yoki tarmoq ulanishlariga (MiTM) ulanish imkonini beradi. ).
Zaiflik turli ishlab chiqaruvchilarning kabel modemlarining proshivkalarida ishlatiladigan standart Broadcom protsessorida mavjud. WebSocket orqali JSON formatidagi so'rovlarni tahlil qilishda ma'lumotlarning noto'g'ri tekshirilishi tufayli so'rovda ko'rsatilgan parametrlarning dumlari ajratilgan buferdan tashqaridagi maydonga yozilishi va stekning bir qismini, shu jumladan qaytish manzili va saqlangan registr qiymatlarini qayta yozishi mumkin.
Hozirgi vaqtda zaiflik tadqiqot davomida o'rganish uchun mavjud bo'lgan quyidagi qurilmalarda tasdiqlangan:
- Sagemcom F@st 3890, 3686;
- NETGEAR CG3700EMR, C6250EMR, CM1000;
- Technicolor TC7230, TC4400;
- COMPAL 7284E, 7486E;
- Surfboard SB8200.
Manba: opennet.ru