Nova vulnerabilidade afeta vários fabricantes de modem a cabo que usam chips da Broadcom expondo centenas de milhões de usuários a ataques remotos
Pesquisadores de segurança estão alertando para uma nova vulnerabilidade crítica que afeta vários fabricantes de modem a cabo que usam chips da Broadcom expondo centenas de milhões de usuários a ataques remotos. Descoberto por três pesquisadores da consultoria de segurança Lyrebirds e um pesquisador independente, o bug chamado “Cable Haunt” (CVE-2019-19494) é descrito como um “estouro de buffer”, que permite que um invasor remoto execute código arbitrário em nível do kernel via JavaScript é executado no navegador da vítima.
Isso abre uma gama de opções possíveis para os hackers, incluindo: alterar o servidor DNS padrão, desativar as atualizações de firmware do ISP e alterar secretamente o código, ataques man-in-the-middle e “sequestrar” o dispositivo em uma botnet. Basicamente, significa ser capaz de bisbilhotar todo o tráfego que entra no modem, enviar usuários a domínios maliciosos e iniciar ataques por redes de bots.
O Cable Haunt, está presente no analisador de espectro, um componente padrão dos chips Broadcom que identifica possíveis problemas com a conexão através do cabo coaxial do modem. “Os modems a cabo são vulneráveis à execução remota de código por meio de uma conexão de soquete da web, ignorando as regras CORS e SOC normais e, posteriormente, sobrecarregando os registros e executando a funcionalidade maliciosa”, explicaram os pesquisadores.
Segundo eles, essas vulnerabilidades podem fornecer ao invasor controle remoto completo sobre toda a unidade e todo o tráfego que flui através dela, além de serem invisíveis para o usuário e o provedor de internet (ISP) e capazes de ignorar as atualizações remotas do sistema.
O invasor induz a vítima a abrir uma página da web que contenha JavaScript malicioso que estabeleça uma conexão diretamente com o servidor web do modem e substitua os registros da CPU para executar a carga maliciosa entregue através da solicitação.
Depois que o invasor obtém o controle de um invasor, dizem os pesquisadores, ele pode fazer coisas como alterar o servidor DNS padrão do dispositivo, realizar ataques remotos do tipo intermediário, trocar o firmware, desativar a atualização de firmware pelo ISP, entre outras modificações.
Quais dispositivos são vulneráveis?
Existem cerca de 200 milhões de modems a cabo somente na Europa. Como quase nenhum modem a cabo testado é seguro sem uma atualização de firmware, estima-se que o número de modems vulneráveis na Europa esteja próximo desse número
Os pesquisadores elaboraram uma lista de modems vulneráveis (confirmados), como da Sagemcom, Technicolor, NetGear, Compal e Arris, e estão solicitando à comunidade de pesquisa de segurança cibernética que ajude verificando outros dispositivos quanto à falha.
Os pesquisadores de segurança recomendam que os usuários entrem em contato com o provedor de serviços de internet e perguntem se o modem era ou já estava vulnerável ao Cable Haunt. “Verifique com o fabricante do seu modem se o firmware mais recente impede o Cable Haunt e se o modem está vulnerável. Se você suspeitar que seu modem foi comprometido, atualize o firmware para uma versão não vulnerável ao Cable Haunt. Depois, considere se o tráfego da internet não criptografado do passado contém informações confidenciais, como senhas ou e-mails pessoais, e tome as devidas precauções”, acrescentaram. Os ISPs devem entrar em contato com o fabricante do modem e solicitar que criem um firmware que não seja vulnerável, para que possam implementá-lo o mais rápido possível. Com agências de notícias internacionais.