Spezialisten einer dänischen Sicherheitsberatung entdeckten eine neue kritische Sicherheitslücke in
Cable Haunt (CVE-2019-19494). Es ist mit Broadcom-Chips verbunden, die in Kabelmodems untergebracht sind - Geräten für die bidirektionale Datenübertragung über Koaxial- oder optische Kabel. Sprechen wir darüber, was das Wesen der Verwundbarkeit ist und wer davon betroffen ist.
/ CC BY / TomWas ist Verwundbarkeit?
Die Sicherheitsanfälligkeit wurde bereits im Mai letzten Jahres entdeckt, Informationen dazu wurden jedoch erst kürzlich veröffentlicht. Das Problem
hängt mit einer der Standard-Broadcom-Chipkomponenten zusammen, die als Spektrumanalysator bezeichnet werden. Es schützt das Gerät vor Störungen und Signalstößen. Anbieter verwenden es, um eine Verbindung zu debuggen. Angreifer können mithilfe eines Spektrumanalysators Pakete abfangen und den Datenverkehr umleiten.
Es gibt zwei Möglichkeiten, einen Angriff durchzuführen. Die erste besteht darin, ein böswilliges Skript an den Browser des Opfers zu senden, das die Verbindung zum Modem erzwingt. Laut ArsTechnica wird der Vorgang erfolgreich sein, da Web-Sockets nicht durch den
CORS -Mechanismus (Cross-Origin Resource Sharing) geschützt sind, mit dem Sie eine Anforderung an eine Ressource auf einer Webseite von einer anderen Domain blockieren können.
Die zweite Möglichkeit besteht
darin, einen DNS-Rebinding- Angriff auf das Modem
durchzuführen , mit dem Angreifer in der Regel lokale Netzwerke infiltrieren. Die Ingenieure von Lyrebirds geben
in ihrem Bericht einen allgemeinen Angriffsalgorithmus an:
- Ausführen eines schädlichen JavaScript-Skripts auf dem Computer des Opfers. Das Skript generiert eine Anforderung vom Browser und sendet sie an den DNS-Server. Es gibt die IP-Adresse des Angreifer-Servers zurück, von dem das System schädlichen Code herunterlädt.
- Der Client fordert erneut die IP-Adresse an, aber diesmal gibt der Server die lokale Adresse des Kabelmodems zurück .
- Nachdem das Modem geantwortet hat - laut dänischen Experten kann der Vorgang bis zu einer Minute dauern -, hat der Hacker die Möglichkeit, direkt Anfragen an ihn zu senden (für den Spektrumanalysator).
Im Allgemeinen kann das Schema wie folgt dargestellt werden:
Im Bericht von Informationssicherheitsexperten finden Sie auch Beispiele für Anforderungen, die zwischen dem Browser des Benutzers und den Servern ausgetauscht werden. Nach Abschluss aller Vorgänge kann der Hacker die Modem-Firmware "on the fly" ändern, die Einstellungen des DNS-Servers oder der MAC-Adresse ändern, MITM-Angriffe ausführen,
SNMP-OID- Werte
abrufen und festlegen sowie das Netzwerkgerät zum Bestandteil des Botnetzes machen.
Die dänischen Ingenieure haben die Sicherheitsanfälligkeit in der Praxis getestet. Sie haben zwei POC-Exploits für die
Modems Sagemcom F @ st 3890 und
Technicolor TC7230 eingeführt . Sie finden den Code in den entsprechenden Repositories auf GitHub.
ZDnet-Redakteure bemerken
, dass es ziemlich schwierig ist, einen Angriff mit Cable Haunt durchzuführen. Dies ist hauptsächlich auf die Tatsache zurückzuführen, dass der Zugriff auf die anfällige Komponente (Spektrumanalysator) über das Internet nicht möglich ist - sie ist nur im internen Netzwerk des Modems verfügbar. Daher können Hacker die Sicherheitsanfälligkeit nicht ausnutzen, ohne Malware auf dem Computer des Opfers zu installieren und ohne auf Social-Engineering-Methoden zurückzugreifen. Das Erkennen eines solchen Angriffs ist jedoch ebenfalls problematisch, da es viele Methoden gibt, um böswillige Aktivitäten zu verbergen, indem Sie Root-Zugriff auf das Gerät erhalten.
Wer ist verwundbar?
Allein in Europa sind rund 200 Millionen Geräte von Cable Haunts betroffen. Threatpost
stellt fest, dass eine große Anzahl von Modems auch in Nordamerika anfällig ist. Gleichzeitig
meldet HelpNetSecurity
, dass die genaue Anzahl der Geräte, für die ein Patch erforderlich ist, problematisch ist. Viele Hersteller von Netzwerkhardware verwenden Broadcom-Lösungen, um ihre eigene Firmware zu schreiben. Die Sicherheitslücke kann sich in Systemen verschiedener Hersteller unterschiedlich manifestieren.
Es ist zwar zuverlässig bekannt, dass das Problem bei den Modems Sagemcom, Technicolor, NetGear und Compal liegt. Die Autoren stellten ein (
öffentlich auf GitHub veröffentlichtes ) Skript
zur Verfügung, mit dem jeder seine Hardware testen kann. Wenn dieses Skript das Modem zum Absturz bringt, ist es anfällig:
exploit = '{"jsonrpc":"2.0","method":"Frontend::GetFrontendSpectrumData","params":{"coreID":0,"fStartHz":' + 'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' +',"fStopHz":1000000000,"fftSize":1024,"gain":1},"id":"0"}' console.log(exploit) var socket = new WebSocket("ws://192.168.100.1:8080/Frontend", 'rpc-frontend')
Einige Mitglieder der IT-Community gaben an, dass Cable Haunt auch von einer Reihe von Cisco-, Arris-, TP-Link- und Zoom-Modems betroffen ist. Eine vollständige Liste der Gerätemodelle finden Sie
auf der offiziellen Website für Schwachstellen im Abschnitt „Betroffen?“.
Die Ingenieure von Lyrebird empfehlen den Internet Service Providern, ihre Geräte auf CVE-2019-19494 zu überprüfen. Wenn der Test positiv ist, müssen Sie sich so schnell wie möglich an den Eisenhersteller wenden und eine geänderte Firmware anfordern. Broadcom gab an, die entsprechenden Patches bereits im Mai 2019 veröffentlicht zu haben, es ist jedoch nicht bekannt, wie viele Benutzergeräte diese Updates erhalten haben.
Einer der Bewohner von Hacker News stellte in einem thematischen Thread
fest, dass die Politik vieler ausländischer Anbieter, die Modems nicht an Benutzer verkaufen, sondern vermieten, zusätzliche Schwierigkeiten verursacht. Sie geben den Benutzernamen und das Kennwort für das Administratorkonto nicht weiter. Daher können Benutzer die Firmware selbst dann nicht ändern, wenn dies gewünscht wird.
Experten hoffen, dass nun, da die Informationen über die Sicherheitsanfälligkeit einem breiten Publikum bekannt sind, alle anfälligen Geräte in naher Zukunft "Patches" erhalten.
Worüber wir im Unternehmensblog von VAS Experts schreiben: