Lyrebirds 的安全研究人员 相关信息 ()在基于 Broadcom 芯片的电缆调制解调器中,允许完全控制设备。 研究人员称,欧洲不同有线电视运营商使用的约 200 亿台设备受到该问题的影响。 准备检查您的调制解调器 ,它评估有问题的服务以及工作人员的活动 当用户浏览器中打开专门设计的页面时进行攻击。
该问题是由提供频谱分析仪数据访问的服务中的缓冲区溢出引起的,该服务允许操作员诊断问题并考虑电缆连接上的干扰水平。 该服务通过 jsonrpc 处理请求并仅接受内部网络上的连接。 由于两个因素,服务中的漏洞可能被利用 - 服务未受到技术使用的保护”“由于 WebSocket 使用不正确,并且在大多数情况下根据预定义的工程密码提供访问,该密码对于该型号系列的所有设备都是通用的(频谱分析仪是其自己的网络端口(通常是 8080 或 6080)上的独立服务,具有自己的工程访问密码,与管理员 Web 界面的密码不重叠)。
“DNS 重新绑定”技术允许当用户在浏览器中打开某个页面时,与无法通过 Internet 直接访问的内部网络上的网络服务建立 WebSocket 连接。 绕过浏览器保护以防止离开当前域的范围() 应用 DNS 中的主机名更改 - 攻击者的 DNS 服务器被配置为逐一发送两个 IP 地址:第一个请求发送到页面服务器的真实 IP,然后发送到返回设备(例如,192.168.10.1)。 第一个响应的生存时间(TTL)被设置为最小值,因此当打开页面时,浏览器会确定攻击者服务器的真实IP并加载页面内容。 该页面运行 JavaScript 代码,等待 TTL 过期并发送第二个请求,该请求现在将主机标识为 192.168.10.1,这允许 JavaScript 绕过跨源限制访问本地网络内的服务。
一旦能够向调制解调器发送请求,攻击者就可以利用频谱分析仪处理程序中的缓冲区溢出,从而允许在固件级别以根权限执行代码。 此后,攻击者获得对设备的完全控制权,允许他更改任何设置(例如,通过 DNS 重定向更改 DNS 响应到他的服务器)、禁用固件更新、更改固件、重定向流量或插入网络连接(米特姆)。
该漏洞存在于标准 Broadcom 处理器中,该处理器用于各个制造商的电缆调制解调器的固件中。 当通过WebSocket解析JSON格式的请求时,由于数据验证不正确,请求中指定的参数尾部可能会被写入分配的缓冲区之外的区域,并覆盖部分堆栈,包括返回地址和保存的寄存器值。
目前,该漏洞已在研究期间可供研究的以下设备中得到确认:
- 萨基姆 F@st 3890, 3686;
- NETGEAR CG3700EMR、C6250EMR、CM1000;
- 特艺 TC7230、TC4400;
- 仁宝7284E、7486E;
- 冲浪板 SB8200。
来源: opennet.ru