Especialistas de uma consultoria de segurança dinamarquesa descobriram uma nova vulnerabilidade crítica no
Cable Haunt (CVE-2019-19494). É associado aos chips Broadcom, que são colocados em modems a cabo - dispositivos para transmissão de dados bidirecional por cabos coaxiais ou ópticos. Vamos falar sobre qual é a essência da vulnerabilidade e quem ela afetou.
/ CC BY / TomO que é vulnerabilidade?
A vulnerabilidade foi descoberta em maio do ano passado, mas informações sobre ela apareceram apenas recentemente. O problema
está relacionado a um dos componentes de chip padrão da Broadcom chamado analisador de espectro. Ele protege o dispositivo contra interferências e picos de sinal. Os provedores o usam para depurar uma conexão. Os invasores podem usar um analisador de espectro para interceptar pacotes e redirecionar o tráfego.
Existem duas maneiras de implementar um ataque. O primeiro é enviar um script mal-intencionado ao navegador da vítima que forçará a conexão ao modem. De acordo com
a ArsTechnica, a operação será bem-sucedida, pois os soquetes da web não são protegidos pelo mecanismo
CORS (Compartilhamento de Recursos de Origem Cruzada), que permite bloquear uma solicitação para um recurso em uma página da Web de outro domínio.
A segunda opção é
realizar um ataque de
religação de DNS no modem, que os invasores geralmente usam para se infiltrar nas redes locais. Os engenheiros do Lyrebirds
em seu relatório fornecem um algoritmo geral de ataque:
- Executando um script JavaScript malicioso na máquina da vítima. O script gera uma solicitação do navegador e a envia ao servidor DNS. Ele retorna o endereço IP do servidor atacante, de onde o sistema baixa o código malicioso.
- O cliente solicita novamente o endereço IP, mas desta vez o servidor retorna o endereço local do modem a cabo .
- Depois que o modem responde - de acordo com especialistas dinamarqueses, o procedimento pode levar até um minuto - o hacker tem a oportunidade de enviar solicitações diretamente a ele (para o analisador de espectro).
Em geral, o esquema pode ser representado da seguinte maneira:
No relatório de especialistas em segurança da informação, você também pode encontrar exemplos de solicitações trocadas entre o navegador e os servidores do usuário. Depois de concluir todas as operações, o hacker é capaz de "mudar o firmware do modem", modificar as configurações do servidor DNS ou do endereço MAC, realizar ataques MITM, obter e definir valores de
SNMP OID e também tornar o dispositivo de rede parte da botnet.
Os engenheiros dinamarqueses testaram a vulnerabilidade na prática - eles introduziram duas explorações de POC para os
modens Sagemcom F @ st 3890 e
Technicolor TC7230 . Você pode encontrar o código nos repositórios apropriados no GitHub.
Os editores da ZDnet
observam que é bastante difícil implementar um ataque usando o Cable Haunt. Isso se deve principalmente ao fato de ser impossível acessar o componente vulnerável (analisador de espectro) da Internet - ele está disponível apenas na rede interna do modem. Portanto, os hackers não poderão explorar a vulnerabilidade sem malware na máquina da vítima e sem recorrer a métodos de engenharia social. No entanto, a detecção de um ataque desse tipo também é bastante problemática, pois existem muitos métodos para ocultar atividades maliciosas, obtendo acesso root no dispositivo.
Quem é vulnerável
Somente na Europa, cerca de 200 milhões de dispositivos são afetados pelos assombrações a cabo. O Threatpost
observa que um grande número de modems também é vulnerável na América do Norte. Ao mesmo tempo, o HelpNetSecurity
relata que o número exato de dispositivos que exigem um patch é problemático para avaliar. Muitos fabricantes de hardware de rede usam as soluções Broadcom para escrever seu próprio firmware. A vulnerabilidade pode se manifestar de maneira diferente em sistemas de diferentes fabricantes.
Embora seja sabido com segurança que o problema está nos modems Sagemcom, Technicolor, NetGear e Compal. Os autores forneceram um script (
publicado publicamente no GitHub ) com o qual todos podem testar seu hardware. Se este script travar o modem, ele estará vulnerável:
exploit = '{"jsonrpc":"2.0","method":"Frontend::GetFrontendSpectrumData","params":{"coreID":0,"fStartHz":' + 'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' +',"fStopHz":1000000000,"fftSize":1024,"gain":1},"id":"0"}' console.log(exploit) var socket = new WebSocket("ws://192.168.100.1:8080/Frontend", 'rpc-frontend')
Alguns membros da comunidade de TI disseram que o Cable Haunt também é afetado por vários modems Cisco, Arris, TP-Link e Zoom. Uma lista completa dos modelos de dispositivos pode ser encontrada
no site oficial de vulnerabilidades na seção "Estou afetado?".
Os engenheiros da Lyrebirds recomendam que os provedores de serviços da Internet verifiquem seus equipamentos quanto ao CVE-2019-19494. Se o teste for positivo, entre em contato com o fabricante do ferro o mais rápido possível e solicite um firmware modificado. A Broadcom
diz que eles lançaram os patches correspondentes em maio de 2019, mas não se sabe ao certo quantos dispositivos de usuário receberam essas atualizações.
Um dos residentes do Hacker News no segmento temático
observou que a política de muitos fornecedores estrangeiros que não vendem modems para usuários, mas os alugam, cria dificuldades adicionais. Eles não divulgam o nome de usuário e a senha da conta de administrador; portanto, mesmo se desejado, os usuários não podem modificar o firmware por conta própria.
Os especialistas esperam que agora que as informações sobre a vulnerabilidade sejam conhecidas por um amplo público, todos os dispositivos vulneráveis receberão "patches" em um futuro próximo.
Sobre o que escrevemos no blog corporativo do VAS Experts: