Что известно о новой уязвимости кабельных модемов

    Специалисты из датской компании, которая проводит консультации в сфере ИБ, обнаружили новую критическую уязвимость Cable Haunt (CVE-2019-19494). Она связана с чипами Broadcom, которые ставят в кабельные модемы — устройства для двусторонней передачи данных по коаксиальному или оптическому кабелям. Поговорим о том, в чем суть уязвимости и кого она затронула.


    / CC BY / Tom

    В чем суть уязвимости


    Уязвимость обнаружили еще в мае прошлого года, но информация о ней появилась лишь недавно. Проблема связана с одним из стандартных компонентов чипов Broadcom, который называется анализатором спектра. Он защищает устройство от помех и скачков сигнала. Провайдеры используют его для отладки соединения. Злоумышленники могут использовать анализатор спектра, чтобы перехватывать пакеты и перенаправлять трафик.

    Есть два способа реализации атаки. Первый — направить браузеру жертвы вредоносный скрипт, который заставит его подключиться к модему. Как пишет ArsTechnica, операция пройдет успешно, так как веб-сокеты не защищены механизмом CORS (Cross-Origin Resource Sharing), позволяющим заблокировать запрос к ресурсу на веб-странице из другого домена.

    Второй вариант — провести на модем атаку типа DNS rebinding, которую злоумышленники обычно используют для проникновения в локальные сети. Инженеры из Lyrebirds в своем отчете приводят общий алгоритм атаки:

    • Запуск вредоносного скрипта на JavaScript на машине жертвы. Скрипт формирует запрос от браузера и направляет его DNS-серверу. Он возвращает IP-адрес сервера злоумышленников, откуда система скачивает вредоносный код.
    • Клиент вновь запрашивает IP-адрес, но на этот раз сервер возвращает локальный адрес кабельного модема.
    • После ответа модема — по оценкам датских специалистов, процедура может занимать до одной минуты — хакер получает возможность отправлять к нему запросы напрямую (для анализатора спектра).

    В общем виде схему можно представить следующим образом:


    В отчете специалистов по ИБ также можно найти примеры запросов, которыми обмениваются браузер пользователя и серверы. После выполнения всех операций хакер получает возможность «на лету» подменить прошивку модема, модифицировать настройки DNS-сервера или MAC-адреса, проводить MITM-атаки, получить и установить значения SNMP OID, а также сделать сетевое устройство частью ботнета.

    Датские инженеры проверили уязвимость на практике — они представили два POC-эксплойта для модемов Sagemcom F@st 3890 и Technicolor TC7230. Код вы можете найти в соответствующих репозиториях на GitHub.

    Редакторы из ZDnet отмечают, что реализовать атаку с использованием Cable Haunt достаточно сложно. В основном это связано с тем, что к уязвимому компоненту (анализатору спектра) невозможно обратиться из интернета — он доступен только во внутренней сети модема. Поэтому хакеры не смогут использовать уязвимость без вредоносного ПО на машине жертвы и не прибегая к методам социальной инженерии. Однако и обнаружить такую атаку тоже довольно проблематично, так как есть множество методик скрыть зловредную активность, получив root-доступ на устройстве.

    Кто уязвим


    Только в Европе Cable Haunt подвержены около 200 млн устройств. Издание Threatpost отмечает, что уязвимости подвержено большое количество модемов и в Северной Америке. При этом в HelpNetSecurity сообщают, что точное число девайсов, которым требуется патч, оценить проблематично. Многие производители сетевого аппаратного обеспечения используют решения Broadcom при написании собственных прошивок. Уязвимость может проявить себя по-разному в системах разных производителей.

    Пока достоверно известно, что проблема есть в модемах Sagemcom, Technicolor, NetGear и Compal. Авторы предоставили скрипт (выложен в открытый доступ на GitHub), с помощью которого все желающие могут протестировать свое аппаратное обеспечение. Если этот скрипт выводит из строя модем, то он уязвим:

    exploit = '{"jsonrpc":"2.0","method":"Frontend::GetFrontendSpectrumData","params":{"coreID":0,"fStartHz":' + 'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA' +',"fStopHz":1000000000,"fftSize":1024,"gain":1},"id":"0"}'
    console.log(exploit)
    
    
    var socket = new WebSocket("ws://192.168.100.1:8080/Frontend", 'rpc-frontend') //Or some other ip and port!!!
    
    socket.onopen = function(e) {
     socket.send(exploit)
    };
    

    Отдельные участники ИТ-сообщества сообщили, что Cable Haunt также подвержен ряд модемов Cisco, Arris, TP-Link и Zoom. Полный список с моделями устройств можно найти на официальном сайте, посвященном уязвимости, в разделе «Am I Affected?».

    Инженеры из Lyrebirds рекомендуют интернет-провайдерам проверить свое оборудование на наличие CVE-2019-19494. Если тест положительный, то нужно как можно скорее обратиться к производителю железа и запросить модифицированную прошивку. В Broadcom говорят, что выпустили соответствующие патчи еще в мае 2019 года, однако достоверно неизвестно, сколько пользовательских устройств получили эти обновления.

    Один из резидентов Hacker News в тематическом треде отметил, что дополнительные сложности создает политика многих зарубежных провайдеров, которые не продают модемы пользователям, а сдают их в аренду. Они не раскрывают логин и пароль для учетной записи администратора, поэтому даже при желании пользователи не могут самостоятельно модифицировать прошивку.

    Эксперты надеются, что теперь, когда информация об уязвимости стала известна широкой аудитории, все уязвимые устройства получат «заплатки» уже в ближайшее время.

    О чем мы пишем в корпоративном блоге VAS Experts:

    VAS Experts
    Разработчик платформы глубокого анализа трафика

    Комментарии 1

      0

      Про пассаж об обновлении пользователем: не знаю, как DOCSIS, а более популярный у нас GPON прямо в спецификации подразумевает управление пользовательской CPE коробкой со стороны поставщика услуг и отсутствие у потребителя практически любого доступа к «админке». Что-то мне подсказывает, что в DOCSIS аналогично. Это не глоток свободы как с Ethernet коробками.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое