Des spécialistes d'un cabinet de conseil en sécurité danois ont découvert une nouvelle vulnérabilité critique dans
Cable Haunt (CVE-2019-19494). Il est associé aux puces Broadcom, qui sont placées dans des modems câble - des dispositifs de transmission bidirectionnelle de données sur des câbles coaxiaux ou optiques. Parlons de l'essence de la vulnérabilité et de qui elle a été affectée.
/ CC BY / TomQu'est-ce que la vulnérabilité?
La vulnérabilité a été découverte en mai de l'année dernière, mais des informations à son sujet ne sont apparues que récemment. Le problème
est lié à l'un des composants de la puce Broadcom standard appelé analyseur de spectre. Il protège l'appareil contre les interférences et les surtensions. Les fournisseurs l'utilisent pour déboguer une connexion. Les attaquants peuvent utiliser un analyseur de spectre pour intercepter les paquets et rediriger le trafic.
Il existe deux façons de mettre en œuvre une attaque. La première consiste à envoyer un script malveillant au navigateur de la victime qui l'obligera à se connecter au modem. Selon ArsTechnica, l'opération sera réussie, car les sockets web ne sont pas protégés par le mécanisme
CORS (Cross-Origin Resource Sharing), qui vous permet de bloquer une requête vers une ressource sur une page Web d'un autre domaine.
La deuxième option consiste
à mener une attaque de
reliure DNS sur le modem, que les attaquants utilisent généralement pour infiltrer les réseaux locaux. Les ingénieurs de Lyrebirds fournissent
dans leur rapport un algorithme d'attaque général:
- Exécution d'un script JavaScript malveillant sur la machine de la victime. Le script génère une demande à partir du navigateur et l'envoie au serveur DNS. Il renvoie l'adresse IP du serveur attaquant, d'où le système télécharge du code malveillant.
- Le client demande à nouveau l'adresse IP, mais cette fois le serveur renvoie l'adresse locale du modem câble .
- Après que le modem ait répondu - selon des experts danois, la procédure peut prendre jusqu'à une minute - le pirate a la possibilité de lui envoyer directement des demandes (pour l'analyseur de spectre).
En général, le schéma peut être représenté comme suit:
Dans le rapport des experts en sécurité de l'information, vous pouvez également trouver des exemples de demandes échangées entre le navigateur de l'utilisateur et les serveurs. Après avoir terminé toutes les opérations, le pirate est en mesure de modifier «à la volée» le micrologiciel du modem, de modifier les paramètres du serveur DNS ou de l'adresse MAC, de mener des attaques MITM, d'obtenir et de définir des valeurs
OID SNMP , et également d'intégrer le périphérique réseau au botnet.
Les ingénieurs danois ont testé la vulnérabilité dans la pratique - ils ont introduit deux exploits POC pour les
modems Sagemcom F @ st 3890 et
Technicolor TC7230 . Vous pouvez trouver le code dans les référentiels appropriés sur GitHub.
Les éditeurs de ZDnet
notent qu'il est assez difficile de mettre en œuvre une attaque en utilisant Cable Haunt. Cela est principalement dû au fait qu'il est impossible d'accéder au composant vulnérable (analyseur de spectre) depuis Internet - il n'est disponible que sur le réseau interne du modem. Par conséquent, les pirates ne pourront pas exploiter la vulnérabilité sans malware sur la machine de la victime et sans recourir à des méthodes d'ingénierie sociale. Cependant, la détection d'une telle attaque est également assez problématique, car il existe de nombreuses méthodes pour masquer les activités malveillantes en obtenant un accès root sur l'appareil.
Qui est vulnérable
Rien qu'en Europe, environ 200 millions d'appareils sont touchés par Cable Haunts. Threatpost
note qu'un grand nombre de modems sont également vulnérables en Amérique du Nord. Dans le même temps, HelpNetSecurity
signale que le nombre exact de périphériques qui nécessitent un correctif est problématique à évaluer. De nombreux fabricants de matériel réseau utilisent les solutions Broadcom pour écrire leur propre firmware. La vulnérabilité peut se manifester différemment dans les systèmes de différents fabricants.
Bien que l'on sache de manière fiable que le problème se situe dans les modems Sagemcom, Technicolor, NetGear et Compal. Les auteurs ont fourni un script (
publié publiquement sur GitHub ) avec lequel chacun peut tester son matériel. Si ce script plante le modem, il est vulnérable:
exploit = '{"jsonrpc":"2.0","method":"Frontend::GetFrontendSpectrumData","params":{"coreID":0,"fStartHz":' + 'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' +',"fStopHz":1000000000,"fftSize":1024,"gain":1},"id":"0"}' console.log(exploit) var socket = new WebSocket("ws://192.168.100.1:8080/Frontend", 'rpc-frontend')
Certains membres de la communauté informatique ont déclaré que Cable Haunt est également affecté par un certain nombre de modems Cisco, Arris, TP-Link et Zoom. Une liste complète des modèles d'appareils peut être trouvée
sur le site officiel pour les vulnérabilités dans la section «Suis-je affecté?».
Les ingénieurs de Lyrebirds recommandent aux fournisseurs de services Internet de vérifier leur équipement pour CVE-2019-19494. Si le test est positif, vous devez contacter le fabricant de fer dès que possible et demander un firmware modifié. Broadcom a
déclaré avoir publié les correctifs correspondants en mai 2019, mais le nombre d'appareils utilisateur ayant reçu ces mises à jour n'est pas connu avec certitude.
Un des résidents de Hacker News dans le fil thématique a
noté que la politique de nombreux fournisseurs étrangers qui ne vendent pas de modems aux utilisateurs mais les louent crée des difficultés supplémentaires. Ils ne divulguent pas le nom d'utilisateur et le mot de passe du compte administrateur.Par conséquent, même s'ils le souhaitent, les utilisateurs ne peuvent pas modifier le micrologiciel par eux-mêmes.
Les experts espèrent que maintenant que les informations sur la vulnérabilité sont devenues connues d'un large public, tous les appareils vulnérables recevront des «correctifs» dans un avenir proche.
Ce que nous écrivons sur le blog d'entreprise de VAS Experts: