使远程访问影响 2亿电缆调制解调器的利用

研究人员说,世界各地数以亿计的有线调制解调器很容易受到黑客的攻击。

丹麦安全公司Lyrebirds的研究人员在一份报告和附带的网站上说,这些攻击的目的是将脆弱的用户引诱到那些为网站上隐藏的恶意JavaScript代码服务的网站上。然后,JavaScript打开一个WebSocket连接到脆弱的电缆调制解调器,并利用频谱分析器中的缓冲区溢出漏洞,这是一个小型服务器,可以检测来自各种制造商的调制解调器中的干扰和其他连接问题。从那里,远程攻击者可以获得对调制解调器的完全控制,允许他们改变DNS设置,使调制解调器成为僵尸网络的一部分,并执行各种其他邪恶的行动。

Cable Hunt,正如研究人员所说的他们的概念验证开发,已知它将用于以下各种固件版本的有线调制解调器:

该开发还可以针对Compal7284E和Compal7486E。由于频谱分析仪服务器存在于其他电缆调制解调器中,因此该开发可能也适用于其他模型。莱鸟的概念证明攻击对技术色彩TC7230和Sagemcom F@st8690可靠地工作。通过调整,攻击代码将在其他列为易受攻击的模型上工作。

“该漏洞使远程攻击者能够通过调制解调器上的端点获得对电缆调制解调器的完全控制,”莱尔比尔斯研究人员写道。“您的有线调制解调器负责网络上所有设备的互联网流量。因此,Cable Hunt可能被用来拦截僵尸网络中的私有消息、重定向流量或分词。

利用至少有两种方式可以获得远程访问,这意味着它可以在互联网上被本地网络之外的攻击者利用。

第一种也是最简单的方法是服务于导致浏览器连接到调制解调器的恶意JavaScript。通常,一种名为跨源资源共享的机制阻止Web应用程序从一个来源(例如恶意.example.com)工作在另一个来源(例如192.168.100.1,大多数或所有易受攻击的调制解调器使用的地址)。

然而,WebSocket不受CORS的保护,因为通常调用该机制。因此,调制解调器将接受远程JavaScript,从而允许攻击者到达端点并为其提供代码。当Cabe Hunt通过浏览器访问调制解调器时,攻击可以来自任何运行代码可以到达本地网络上的IP的地方。

当脆弱目标使用Fire fox时,攻击不起作用,因为该浏览器使用的webSocket与频谱分析仪使用的webSocket不兼容。攻击者仍然可以使用JavaScript进行远程攻击,该JavaScript执行所谓的DNS重新绑定攻击。为了绕过相同的起源策略-一个限制,阻止从一个域服务的代码在不同的域上执行-重新绑定攻击在本地网络中操作DNS表。由于攻击站点的域地址被映射到易损调制解调器的IP上,JavaScript将成功地执行攻击代码。

除了缓冲区溢出之外,由于已知的用于在调制解调器上执行代码的默认凭据,攻击是可能的。这些默认凭据只是添加到攻击代码使用的URL中,例如。http://username:password@malicious.example.com.莱雷鸟联合创始人卡斯帕坦德鲁普告诉我,他相信还有其他方法可以让攻击远程工作。

概念的证明利用其他聪明的技巧起作用。由于运行频谱分析仪的MIPS汇编语言的内存结构,攻击代码必须知道易损码的精确内存地址。(通常,缓冲区溢出漏洞将直接写入内存堆栈。)为了绕过这种内存结构所带来的限制,CableHunt使用面向返回的编程在预先存在的代码块之间移动,然后创建一个现有代码的拼凑。

一旦攻击者利用漏洞,他们就会向调制解调器的telnet服务器发送命令,以安装反向shell。从那里,攻击者可以做各种事情,包括但不限于更改DNS设置、安装全新固件、使调制解调器参与僵尸网络、监视通过调制解调器的未加密数据。

莱雷鸟的研究表明,光是在欧洲,CableHunt就能对付多达2亿调制解调器。这种攻击可能对部署在世界其他地方的更多调制解调器有效。对于普通用户来说,确定一个路由器是否不在Lyrebirds列表中是脆弱的并不容易,因为它要求他们对设备运行此PoC代码。检测被黑客入侵的调制解调器也很困难,因为一旦攻击者在设备上获得根访问权限,就有多种方法来掩盖感染。

有线电视是一个严重的漏洞,应该尽快修补。以用户为目标的最有可能的方法是向ISP的用户发送电子邮件,这些ISP已知为用户提供了一个脆弱的调制解调器。这封电子邮件将指示用户访问为攻击服务的网站。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢