Lyrebirds 的安全研究人員 相關資訊 ()在基於 Broadcom 晶片的電纜調變解調器中,允許完全控制設備。研究人員稱,歐洲不同有線電視業者使用的約 200 億台設備受到該問題的影響。準備檢查您的數據機 ,它評估有問題的服務以及工作人員的活動 當使用者瀏覽器中開啟專門設計的頁面時進行攻擊。
該問題是由提供頻譜分析儀資料存取的服務中的緩衝區溢位引起的,該服務允許操作員診斷問題並考慮電纜連接上的干擾等級。本服務透過 jsonrpc 處理請求並僅接受內部網路上的連線。由於兩個因素,服務中的漏洞可能被利用 - 服務未受到技術使用的保護”「由於WebSocket 使用不正確,並且在大多數情況下根據預定義的工程密碼提供訪問,該密碼對於該型號系列的所有設備都是通用的(頻譜分析儀是其自己的網絡端口(通常是8080 或6080)上的獨立服務,具有自己的工程存取密碼,與管理員 Web 介面的密碼不重疊)。
「DNS 重新綁定」技術允許當使用者在瀏覽器中開啟某個頁面時,與無法透過 Internet 直接存取的內部網路上的網路服務建立 WebSocket 連線。繞過瀏覽器保護以防止離開目前網域的範圍() 套用 DNS 中的主機名稱變更 - 攻擊者的 DNS 伺服器被設定為逐一傳送兩個 IP 位址:第一個要求傳送到頁面伺服器的真實 IP,然後傳送到回傳裝置(例如,192.168.10.1)。第一個回應的生存時間(TTL)被設定為最小值,因此當開啟頁面時,瀏覽器會確定攻擊者伺服器的真實IP並載入頁面內容。該頁面運行 JavaScript 程式碼,等待 TTL 過期並發送第二個請求,該請求現在將主機標識為 192.168.10.1,這允許 JavaScript 繞過跨來源限制存取本機網路內的服務。
一旦能夠向調製解調器發送請求,攻擊者就可以利用頻譜分析儀處理程序中的緩衝區溢出,從而允許在韌體層級以根權限執行程式碼。此後,攻擊者獲得對設備的完全控制權,允許他更改任何設定(例如,透過 DNS 重定向更改 DNS 回應到他的伺服器)、停用韌體更新、更改韌體、重定向流量或插入網路連接(MiTM ) 。
該漏洞存在於標準 Broadcom 處理器中,該處理器用於各個製造商的電纜數據機的韌體中。當透過WebSocket解析JSON格式的請求時,由於資料驗證不正確,請求中指定的參數尾部可能會寫入已指派的緩衝區之外的區域,並覆寫部分堆疊,包括傳回位址和已儲存的暫存器值。
目前,該漏洞已在研究期間可供研究的以下設備中確認:
- 薩基姆 F@st 3890, 3686;
- NETGEAR CG3700EMR、C6250EMR、CM1000;
- 特藝 TC7230、TC4400;
- 仁寶7284E、7486E;
- 衝浪板 SB8200。
來源: opennet.ru