Los especialistas de una consultora de seguridad danesa descubrieron una nueva vulnerabilidad cr铆tica en
Cable Haunt (CVE-2019-19494). Est谩 asociado con los chips Broadcom, que se colocan en m贸dems de cable, dispositivos para la transmisi贸n de datos bidireccional a trav茅s de cables coaxiales u 贸pticos. Hablemos sobre cu谩l es la esencia de la vulnerabilidad y a qui茅n afect贸.
/ CC BY / Tom驴Qu茅 es la vulnerabilidad?
La vulnerabilidad se descubri贸 en mayo del a帽o pasado, pero recientemente apareci贸 informaci贸n al respecto. El problema
est谩 relacionado con uno de los componentes est谩ndar del chip Broadcom llamado analizador de espectro. Protege el dispositivo de interferencias y sobretensiones de se帽al. Los proveedores lo usan para depurar una conexi贸n. Los atacantes pueden usar un analizador de espectro para interceptar paquetes y redirigir el tr谩fico.
Hay dos formas de implementar un ataque. El primero es enviar un script malicioso al navegador de la v铆ctima que lo obligar谩 a conectarse al m贸dem. Seg煤n ArsTechnica, la operaci贸n ser谩 exitosa, ya que los sockets web no est谩n protegidos por el mecanismo
CORS (Cross-Origin Resource Sharing), que le permite bloquear una solicitud a un recurso en una p谩gina web desde otro dominio.
La segunda opci贸n es
realizar un ataque de
enlace DNS en el m贸dem, que los atacantes suelen utilizar para infiltrarse en las redes locales. Los ingenieros de Lyrebirds
en su informe proporcionan un algoritmo de ataque general:
- Ejecutar un script JavaScript malicioso en la m谩quina de la v铆ctima. El script genera una solicitud desde el navegador y la env铆a al servidor DNS. Devuelve la direcci贸n IP del servidor atacante, desde donde el sistema descarga el c贸digo malicioso.
- El cliente nuevamente solicita la direcci贸n IP, pero esta vez el servidor devuelve la direcci贸n local del m贸dem de cable .
- Despu茅s de que el m贸dem responde, seg煤n los expertos daneses, el procedimiento puede tomar hasta un minuto, el hacker tiene la oportunidad de enviarle solicitudes directamente (para el analizador de espectro).
En general, el esquema se puede representar de la siguiente manera:
En el informe de expertos en seguridad de la informaci贸n, tambi茅n puede encontrar ejemplos de solicitudes intercambiadas entre el navegador y los servidores del usuario. Despu茅s de completar todas las operaciones, el pirata inform谩tico puede "sobre la marcha" cambiar el firmware del m贸dem, modificar la configuraci贸n del servidor DNS o la direcci贸n MAC, realizar ataques MITM, obtener y establecer valores
SNID OID , y tambi茅n hacer que el dispositivo de red forme parte de la botnet.
Los ingenieros daneses probaron la vulnerabilidad en la pr谩ctica: introdujeron dos vulnerabilidades POC para los
m贸dems Sagemcom F @ st 3890 y
Technicolor TC7230 . Puede encontrar el c贸digo en los repositorios apropiados en GitHub.
Los editores de ZDnet
se帽alan que es bastante dif铆cil implementar un ataque con Cable Haunt. Esto se debe principalmente al hecho de que es imposible acceder al componente vulnerable (analizador de espectro) desde Internet; solo est谩 disponible en la red interna del m贸dem. Por lo tanto, los piratas inform谩ticos no podr谩n explotar la vulnerabilidad sin malware en la m谩quina de la v铆ctima y sin recurrir a m茅todos de ingenier铆a social. Sin embargo, detectar dicho ataque tambi茅n es bastante problem谩tico, ya que existen muchos m茅todos para ocultar la actividad maliciosa al obtener acceso de root en el dispositivo.
Quien es vulnerable
Solo en Europa, Cable Haunt afecta a unos 200 millones de dispositivos. Threatpost
se帽ala que una gran cantidad de m贸dems tambi茅n son vulnerables en Am茅rica del Norte. Al mismo tiempo, HelpNetSecurity
informa que el n煤mero exacto de dispositivos que requieren un parche es problem谩tico de evaluar. Muchos fabricantes de hardware de red utilizan soluciones Broadcom para escribir su propio firmware. La vulnerabilidad puede manifestarse de manera diferente en sistemas de diferentes fabricantes.
Si bien se sabe de manera confiable que el problema est谩 en los m贸dems Sagemcom, Technicolor, NetGear y Compal. Los autores proporcionaron un script (
publicado p煤blicamente en GitHub ), con el que todos pueden probar su hardware. Si este script bloquea el m贸dem, entonces es vulnerable:
exploit = '{"jsonrpc":"2.0","method":"Frontend::GetFrontendSpectrumData","params":{"coreID":0,"fStartHz":' + 'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' +',"fStopHz":1000000000,"fftSize":1024,"gain":1},"id":"0"}' console.log(exploit) var socket = new WebSocket("ws://192.168.100.1:8080/Frontend", 'rpc-frontend')
Algunos miembros de la comunidad de TI dijeron que Cable Haunt tambi茅n se ve afectado por varios m贸dems Cisco, Arris, TP-Link y Zoom. Puede encontrar una lista completa de modelos de dispositivos
en el sitio web oficial para vulnerabilidades en la secci贸n "驴Estoy afectado?".
Los ingenieros de Lyrebirds recomiendan que los proveedores de servicios de Internet verifiquen sus equipos para CVE-2019-19494. Si la prueba es positiva, debe comunicarse con el fabricante de la plancha lo antes posible y solicitar un firmware modificado. Broadcom
dice que lanzaron los parches correspondientes en mayo de 2019, pero no se sabe con certeza cu谩ntos dispositivos de usuario recibieron estas actualizaciones.
Uno de los residentes de Hacker News en un hilo tem谩tico
se帽al贸 que la pol铆tica de muchos proveedores extranjeros que no venden m贸dems a los usuarios sino que los alquilan crea dificultades adicionales. No divulgan el nombre de usuario y la contrase帽a de la cuenta de administrador, por lo tanto, incluso si lo desean, los usuarios no pueden modificar el firmware por su cuenta.
Los expertos esperan que ahora que la informaci贸n sobre vulnerabilidades se haya dado a conocer a una amplia audiencia, todos los dispositivos vulnerables recibir谩n "parches" en el futuro cercano.
Sobre lo que escribimos en el blog corporativo VAS Experts: