Lyrebirds 的安全研究人员
该问题是由提供频谱分析仪数据访问的服务中的缓冲区溢出引起的,该服务允许操作员诊断问题并考虑电缆连接上的干扰水平。 该服务通过 jsonrpc 处理请求并仅接受内部网络上的连接。 由于两个因素,服务中的漏洞可能被利用 - 服务未受到技术使用的保护”
“DNS 重新绑定”技术允许当用户在浏览器中打开某个页面时,与无法通过 Internet 直接访问的内部网络上的网络服务建立 WebSocket 连接。 绕过浏览器保护以防止离开当前域的范围(
一旦能够向调制解调器发送请求,攻击者就可以利用频谱分析仪处理程序中的缓冲区溢出,从而允许在固件级别以根权限执行代码。 此后,攻击者获得对设备的完全控制权,允许他更改任何设置(例如,通过 DNS 重定向更改 DNS 响应到他的服务器)、禁用固件更新、更改固件、重定向流量或插入网络连接(米特姆)。
该漏洞存在于标准 Broadcom 处理器中,该处理器用于各个制造商的电缆调制解调器的固件中。 当通过WebSocket解析JSON格式的请求时,由于数据验证不正确,请求中指定的参数尾部可能会被写入分配的缓冲区之外的区域,并覆盖部分堆栈,包括返回地址和保存的寄存器值。
目前,该漏洞已在研究期间可供研究的以下设备中得到确认:
- 萨基姆 F@st 3890, 3686;
- NETGEAR CG3700EMR、C6250EMR、CM1000;
- 特艺 TC7230、TC4400;
- 仁宝7284E、7486E;
- 冲浪板 SB8200。
来源: opennet.ru