Cable Haunt漏洞使2亿多博通modem面临被劫持风险

博通电缆调制解调器的固件被曝出名为“Cable Haunt”的漏洞，仅在欧洲就影响了多达2亿个家庭宽带网关，使其面临被远程劫持的风险。漏洞编号为CVE-2019-19494。

该漏洞存在于博通芯片的硬件组件和软件组件中，和频谱分析器有关（主要是用来保护电缆调制解调器免受来自同轴电缆的信号冲击和干扰）。

研究人员表示：“据估计，仅在欧洲就有2亿个电缆调制解调器。几乎没有电缆调制解调器是安全的（若不进行安全更新）。而且，我们目前很难给出一个准确的影响范围，因为该漏洞存在的软件被大量引用，许多不同的厂商都把它加入电缆调制解调器的固件中，我们很难确定漏洞到底影响了哪些设备。对于不同制造商的产品，漏洞的表现形式可能有所不同。”

四个丹麦研究人员（Alexander Dalsgaard（Lyrebirds），Jens Hegner Stærmose（Lyrebirds），Kasper Terndrup（Lyrebirds），Simon Vandel Sillesen（独立）)演示了如何利用这些漏洞来进行实际攻击。先欺骗受害者打开一个特别精心设计Web页面（其中包含恶意JS代码）或恶意邮件，然后恶意代码会连接到本地网络中脆弱的调制解调器内置的Web服务，最后通过覆盖堆栈并触发缓冲区溢出来更改调制解调器的处理器中寄存器的内容。通过以上一系列操作，最后将重定向到请求所包含的恶意代码，进而执行大量非法操作，包括：

• 更改默认DNS服务器

• 进行远程中间人攻击

• 实时改动代码甚至整个固件

• 静默上传、刷新和升级固件

• 禁用ISP固件升级

• 更改每个配置文件和设置

• 获取和设置SNMP OID值

• 更改所有相关的MAC地址

• 更改序列号

• 加入僵尸网络

出于安全原因，在大多数电缆调制解调器中，只允许从内部网络连接频谱分析仪。

研究团队发现，博通芯片的频谱分析仪缺乏针对DNS重绑定攻击的保护，且使用了默认凭证，其固件也包含编程缺陷。

“DNS重绑定”可让攻击者突破同源策略，攻击内网中的目标设备。

这种攻击可以让远程攻击者以一种隐蔽的方式接管博通的电缆调制解调器。

“Cable Haunt的利用有两个步骤。首先，通过本地网络上的客户端（如浏览器）访问存在漏洞的设备。其次，利用缓冲区溢出攻击设备，使攻击者能够控制调制解调器。”

这四名研究人员发表了一份白皮书，并建立专门的网站来展示该漏洞的详细信息（针对sagemcom F@st 3890调制解调器）。

Cable Haunt漏洞影响了使用博通芯片且运行在开源嵌入式可配置操作系统的电缆调制解调器。专家们还公布了一份已知的受影响的宽带网关列表。

专家指出，只有对防火墙进行非常具体的配置才能拦截这种攻击，但他们怀疑几乎没有人会进行这种设置。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/96281/hacking/cable-haunt-broadcome-flaw.html