Existe uma nova vulnerabilidade crítica que afeta vários fabricantes de modem a cabo que usam chips da Broadcom expondo centenas de milhões de usuários a ataques remotos. Descoberto por três pesquisadores da consultoria de segurança Lyrebirds e um pesquisador independente, o bug é chamado Cable Haunté descrito como um “estouro de buffer”, que permite que um invasor remoto execute código arbitrário ao nível do kernel via JavaScript é executado no navegador da vítima.
Dessa forma abre uma gama de opções possíveis para os hackers, incluindo: alteração do servidor DNS padrão, desativas as atualizações de firmware do ISP e alterar secretamente o código, ataques man-in-the-middle e o sequestro do dispositivo em uma botnet, basicamente isso significa que e capaz de bisbilhotar todo o tráfego que entra no modem do usuário, e também enviar ao usuário a domínios maliciosos e iniciar ataques por redes de bots.
O Cable Haunt é quem está presente no analisador de aspectro, com um componente padrão dos chips Broadcom que identifica possíveis problemas com a conexão através do cabo coaxial do modem. “Os modems a cabo são vulneráveis à execução remota de código por meio de uma conexão de soquete da web, ignorando as regras do CORS e SOC normais e, posteriormente, sobrecarregando os registros e executando a funcionalidade maliciosa”
Segundo os pesquisadores, essas vulnerabilidades podem fornecer ao invasor controle remoto completo sobre toda a unidade e todo o trafego que flui através dela, e, além disso podem ser invisíveis para o usuário e o provedor de internet (ISP) e capaz de ignorar as atualizações remotas do sistema.
O invasor faz com que a vítima abra uma página da web que contenha um JavaScript malicioso que estabeleça uma conexão diretamente com o servidor web do modem e substitua os registros da CPU para poder executar a carga maliciosa entregue através da solicitação. Dessa forma e aonde acontece alguns dos ataques citado no início do texto, pois o invasor obtém o controle de um invasor, ele possui a liberdade para alterar o servidor DNS padrão do dispositivo, realizar ataques remotos do tipo intermediário, trocar o firmware, desativar a atualização de firmware pelo ISP, entre outras modificações.
Dicas para evitar esses ataques:
Altere o login e senha do modem e do roteador
Ao saírem de fábrica, o modem e o roteador são configurados com uma senha padrão. Sendo assim, é fácil desvendar quais são os passwords, caso você não tenha feito nenhuma alteração.
Mantenha o firmware do roteador ou modem atualizado
O firmware é o “sistema operacional” do seu roteador. É importante ele esteja sempre atualizado. Assim, seu roteador terá menos vulnerabilidades, evitando o ataque dos criminosos.
Use o protocolo de segurança WPA3
O WPA3 é um novo protocolo das redes Wi-Fi, uma evolução do WPA2, que é o mais utilizado atualmente. A novidade promete oferecer mais segurança para a troca de dados na rede ao adicionar uma série de recursos de proteção, como um novo tipo de criptografia e resistência a ataques de “força bruta”.
Desative serviços desnecessários
Os modems e roteadores possuem serviços de acesso remoto ou outras tecnologias que são habilitadas sem que você saiba. Caso você não use esses tipos de tecnologias, o ideal é desabilitá-las por questões de segurança. A ‘gestão remota’ e o ‘Broadcast SSID’ são duas dessas tecnologias que podem ser desativadas.
Mude o DNS do fornecedor de internet
A maioria dos redirecionamentos causados por ataques aos provedores depende do DNS, que é a “lista telefônica” ou “102” da internet. É esse serviço que informa os números IP dos “nomes” da internet.
