В чем суть уязвимости
Проблема связана с одним из стандартных компонентов чипов Broadcom, который называется анализатором спектра. Он защищает устройство от помех и скачков сигнала. Провайдеры используют его для отладки соединения. Оказалось, что анализатор спектра подвержен атакам типа DNS rebinding, которые обычно используют для проникновения в локальные сети.
Общий алгоритм атаки включает в себя шесть шагов:
- Хакер использует методики социальной инженерии и убеждает жертву запустить вредоносный скрипт на JavaScript. Он формирует специальный запрос от браузера и направляет его DNS-серверу, который возвращает IP-адрес сервера злоумышленников.
- Происходит передача вредоносного кода, который инициирует атаку.
- Поскольку значение TTL для DNS было минимальным, клиент вновь запрашивает IP-адрес.
- На этот раз вместо IP-адреса сервера резолвер возвращает локальный адрес кабельного модема.
- Начинается выполнение вредоносного кода в цикле до тех пор, пока модем не ответит (по оценкам датских специалистов, процедура может занимать до одной минуты).
- Клиент отправляет запросы напрямую к модему, в частности, анализатору спектра.
В итоге хакер получает возможность «на лету» подменить прошивку модема, модифицировать настройки DNS-сервера или MAC-адреса, проводить MITM-атаки, получить и установить значения SNMP OID, а также сделать сетевое устройство частью ботнета.
Датские инженеры проверили уязвимость на практике – они представили два POC-эксплойта для модемов Sagemcom F@st 3890 и Technicolor TC7230.
Кто уязвим
Только в Европе Cable Haunt подвержены около 200 млн устройств. Точное число назвать сложно, так как многие производители сетевого аппаратного обеспечения используют решения Broadcom при написании собственных прошивок. Поэтому уязвимость может проявить себя по-разному в системах разных производителей.
Пока достоверно известно, что проблема есть в модемах Sagemcom, Technicolor, NetGear и Compal. Авторы предоставили скрипт (выложен на GitHub), с помощью которого все желающие могут протестировать свое аппаратное обеспечение. Если этот скрипт выводит из строя модем, то он уязвим:
exploit = '{"jsonrpc":"2.0","method":"Frontend::GetFrontendSpectrumData","params":{"coreID":0,"fStartHz":' + 'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' +',"fStopHz":1000000000,"fftSize":1024,"gain":1},"id":"0"}' console.log(exploit) var socket = new WebSocket("ws://192.168.100.1:8080/Frontend", 'rpc-frontend') //Or some other ip and port!!! socket.onopen = function(e) { socket.send(exploit) }; Отдельные участники ИТ-сообщества сообщили, что Cable Haunt также подвержен ряд модемов Cisco, Arris, TP-Link и Zoom. Полный список с моделями устройств можно найти на официальном сайте в разделе «Am I Affected?».
Инженеры из Lyrebirds рекомендуют интернет-провайдерам проверить свое оборудование на наличие уязвимости CVE-2019-19494. Если тест положительный, то нужно как можно скорее обратиться к производителю железа и запросить модифицированную прошивку.
О чем мы пишем в корпоративном блоге VAS Experts:
ссылка на оригинал статьи https://habr.com/ru/company/vasexperts/blog/485934/
Добавить комментарий