ما هو معروف عن الضعف الجديد لأجهزة مودم الكابل

اكتشف متخصصون من شركة استشارية أمنية دانمركية ثغرة أمنية جديدة في Cable Haunt (CVE-2019-19494). يرتبط برقائق Broadcom ، التي يتم وضعها في أجهزة مودم الكبل - أجهزة لنقل البيانات في اتجاهين عبر الكابلات المحورية أو البصرية. دعنا نتحدث عن ماهية جوهر الضعف ومن الذي تأثر به.


/ CC BY / توم

ما هو الضعف؟

تم اكتشاف ثغرة أمنية مرة أخرى في شهر مايو من العام الماضي ، لكن المعلومات المتعلقة به لم تظهر إلا في الآونة الأخيرة. تتعلق المشكلة بأحد مكونات شريحة Broadcom القياسية التي تسمى محلل الطيف. لأنه يحمي الجهاز من التدخل وإشارات الارتفاع. يستخدمه الموفرون لتصحيح اتصال. يمكن للمهاجمين استخدام محلل الطيف لاعتراض الحزم وإعادة توجيه حركة المرور.

هناك طريقتان لتنفيذ الهجوم. الأول هو إرسال برنامج نصي ضار إلى متصفح الضحية مما سيجبره على الاتصال بالمودم. وفقًا لـ ArsTechnica ، ستكون العملية ناجحة ، لأن مآخذ الويب غير محمية بواسطة آلية CORS (مشاركة الموارد المشتركة) ، والتي تسمح لك بحظر طلب مورد على صفحة ويب من مجال آخر.

الخيار الثاني هو إجراء هجوم إعادة ربط DNS على المودم ، والذي يستخدمه المهاجمون عادةً للتسلل إلى الشبكات المحلية. يقدم مهندسو Lyrebirds في تقريرهم خوارزمية هجوم عامة:

• تشغيل برنامج نصي جافا سكريبت ضار على جهاز الضحية. ينشئ البرنامج النصي طلبًا من المستعرض ويرسله إلى خادم DNS. تقوم بإرجاع عنوان IP الخاص بخادم المهاجم ، حيث يقوم النظام بتنزيل التعليمات البرمجية الضارة.
• يطلب العميل مرة أخرى عنوان IP ، لكن هذه المرة يعرض الخادم العنوان المحلي لمودم الكابل .
• بعد أن يجيب المودم - وفقًا للخبراء الدنماركيين - يمكن أن يستغرق الإجراء ما يصل إلى دقيقة واحدة - يحصل المتسلل على فرصة لإرسال طلبات إليه مباشرةً (لمحلل الطيف).

بشكل عام ، يمكن تمثيل المخطط على النحو التالي:


في تقرير خبراء أمن المعلومات ، يمكنك أيضًا العثور على أمثلة للطلبات المتبادلة بين متصفح المستخدم والخوادم. بعد الانتهاء من جميع العمليات ، يستطيع المتسلل "أثناء التنقل" تغيير البرامج الثابتة للمودم ، وتعديل إعدادات خادم DNS أو عنوان MAC ، وتنفيذ هجمات MITM ، والحصول على قيم SNMP OID وتعيينها ، وكذلك جعل جهاز الشبكة جزءًا من شبكة الروبوتات.

اختبر المهندسون الدنماركيون مشكلة عدم الحصانة في الممارسة العملية - لقد قاموا بتقديم اثنين من عمليات استغلال POC لأجهزة المودم Sagemcom F @ st 3890 و Technicolor TC7230 . يمكنك العثور على الكود في مستودعات التخزين المناسبة على GitHub.

يلاحظ محرري ZDnet أنه من الصعب جدًا تنفيذ هجوم باستخدام Cable Haunt. ويرجع ذلك أساسًا إلى حقيقة أنه من المستحيل الوصول إلى المكون الضعيف (محلل الطيف) من الإنترنت - وهو متاح فقط على الشبكة الداخلية للمودم. لذلك ، لن يتمكن المتسللون من استغلال الثغرة الأمنية دون وجود برامج ضارة على جهاز الضحية ودون اللجوء إلى أساليب الهندسة الاجتماعية. ومع ذلك ، فإن اكتشاف مثل هذا الهجوم يمثل أيضًا مشكلة كبيرة ، نظرًا لوجود العديد من الطرق لإخفاء النشاط الضار من خلال الوصول إلى الجذر على الجهاز.

من هو المستضعف

في أوروبا وحدها ، يتأثر حوالي 200 مليون جهاز بآلات الكبلات. يلاحظ Threatpost أن عدد كبير من أجهزة المودم عرضة أيضًا في أمريكا الشمالية. في الوقت نفسه ، تذكر HelpNetSecurity أن العدد الدقيق للأجهزة التي تتطلب تصحيحًا يمثل مشكلة في التقييم. يستخدم العديد من مصنعي أجهزة الشبكة حلول Broadcom لكتابة البرامج الثابتة الخاصة بهم. يمكن أن تظهر الثغرات الأمنية بشكل مختلف في أنظمة الشركات المصنعة المختلفة.

بينما من المعروف أن المشكلة تكمن في أجهزة مودم Sagemcom و Technicolor و NetGear و Compal. قدم المؤلفون نصًا ( تم نشره علنًا على GitHub ) يمكن للجميع من خلاله اختبار أجهزتهم. إذا تعطل هذا البرنامج النصي المودم ، فهو عرضة للتأثر:

exploit = '{"jsonrpc":"2.0","method":"Frontend::GetFrontendSpectrumData","params":{"coreID":0,"fStartHz":' + 'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' +',"fStopHz":1000000000,"fftSize":1024,"gain":1},"id":"0"}' console.log(exploit) var socket = new WebSocket("ws://192.168.100.1:8080/Frontend", 'rpc-frontend') //Or some other ip and port!!! socket.onopen = function(e) { socket.send(exploit) }; 

قال بعض أعضاء مجتمع تقنية المعلومات أن Cable Haunt يتأثر أيضًا بعدد من أجهزة المودم Cisco و Arris و TP-Link و Zoom. يمكن العثور على قائمة كاملة بطرز الأجهزة على الموقع الرسمي للثغرات الأمنية في قسم "أنا متأثر؟"

يوصي مهندسو Lyrebirds بأن يقوم مقدمو خدمات الإنترنت بفحص معداتهم الخاصة بـ CVE-2019-19494. إذا كان الاختبار إيجابياً ، فأنت بحاجة إلى الاتصال بالشركة المصنعة للحديد في أقرب وقت ممكن وطلب تعديل البرامج الثابتة. تقول شركة Broadcom أنها أصدرت التصحيحات المقابلة مرة أخرى في مايو 2019 ، ولكن ليس معروفًا على وجه اليقين عدد أجهزة المستخدم التي تلقت هذه التحديثات.

لاحظ أحد سكان Hacker News في خيط مواضيعي أن سياسة العديد من مقدمي الخدمات الأجانب الذين لا يبيعون أجهزة المودم للمستخدمين ولكن يؤجرونها يخلق صعوبات إضافية. لا يكشفون عن اسم المستخدم وكلمة المرور لحساب المسؤول ، وبالتالي ، حتى لو رغبت في ذلك ، لا يمكن للمستخدمين تعديل البرنامج الثابت من تلقاء أنفسهم.

يأمل الخبراء في أن أصبحت المعلومات حول الثغرة الأمنية معروفة لدى جمهور واسع ، حيث ستتلقى جميع الأجهزة المستضعفة "تصحيحات" في المستقبل القريب.

^{ما نكتب عنه في مدونة الشركات VAS Experts:}

• P2P Dat - كيف يعمل ولمن يتم استخدامه
• كيفية اكتشاف القوة الغاشمة في شبكة المشغل
• Botnet البريد المزعج من خلال أجهزة التوجيه: ما تحتاج إلى معرفته