พบช่องโหว่บนโมเด็มที่ใช้ชิปจาก Broadcom คาดกระทบอุปกรณ์หลายร้อยล้านตัว

นักวิจัยจากเดนมาร์คได้ค้นพบช่องโหว่ ‘Cable Haunt’ บนชิปของ Broadcom ที่ใช้ในเคเบิ้ลโมเด็ม ทั้งนี้เชื่อว่าจะกระทบอุปกรณ์กว่า 200 ล้านตัว

ไอเดียคือมีการพบช่องโหว่บนชิป Spectrum Analyzer ของ Broadcom โดยครอบคลุมทั้งฮาร์ดแวร์และซอฟต์แวร์ที่ป้องกันโมเด็มจากการกระชากของสัญญาณหรือการรบกวนในสาย Coax ซึ่ง ISP มักใช้อุปกรณ์นี้เพื่อ Debug คุณภาพของการเชื่อมต่อ

อย่างไรก็ดีนักวิจัยพบว่าชิปจาก Broadcom นั้นมีช่องโหว่ต่อ DNS Reblinding Attack และใช้ Default Credentials รวมถึงยังมีข้อผิดพลาดในการโปรแกรม Firmware ด้วยเหตุนี้จึงสามารถลวงให้เหยื่อเข้าเพจอันตรายในบราวเซอร์เพื่อเจาะช่องโหว่และลอบรันคำสั่งได้ โดยช่องโหว่ Cable Haunt นั้นสามารถนำไปสู่การโจมตีดังนี้

  • เปลี่ยน Default DNS
  • Man-in-the-Middle Attack
  • Hot-swap Code หรือ Firmware ทั้งก้อน
  • อัปโหลด Flash และอัปเดต Firmware
  • ปิดไม่ให้ ISP อัปเกรต Firmware
  • เปลี่ยนค่าคอนฟิค
  • อ่านค่าหรือตั้งค่า SNMP OID
  • เปลี่ยน MAC Address
  • เปลี่ยนค่า Serial Number
  • เปลี่ยนเป็นกลุ่มเครือข่าย Botnet

แม้ว่านักวิจัยจะไม่สามารถระบุจำนวนโมเด็มที่ใช้ชิป Broadcom ได้ทุกรุ่นแต่ก็ให้ข้อมูลโมเด็มบางส่วนที่ได้ทดสอบแล้ว(ตามภาพด้านบน) โดยส่วนใหญ่ผู้ได้รับกระทบน่าจะเกิดกับ ISP ในทวีปยุโรป รวมถึงผู้โจมตีจำเป็นต้องอยู่ Internal Network เท่านั้นทำให้ไม่สามารถใช้จากขาเชื่อมต่ออินเทอร์เน็ตเข้ามาได้ จึงเป็นเรื่องยากที่จะเกิดการโจมตีจริงในวงกว้าง ผู้สนใจสามารถติดตามผลศึกษาของนักวิจัยได้จากเว็บไซต์ https://cablehaunt.com/

ที่มา :  https://www.zdnet.com/article/hundreds-of-millions-of-cable-modems-are-vulnerable-to-new-cable-haunt-vulnerability/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ผลกระทบจากควอนตัมต่อระบบรักษาความปลอดภัยไซเบอร์ ประเทศไทยต้องเร่งเดินหน้าแผนรับมือ [Press Release]

การคำนวณเชิงควอนตัม (quantum computing)  การแข่งขันด้านเทคโนโลยีการคำนวณแบบใหม่ที่กำลังร้อนแรง และเศรษฐกิจเอเชียรวมถึงไทยก็เกาะติดกระแสอย่างใกล้ชิด แต่นักวิจัยและนักเทคโนโลยีด้านระบบรักษาความปลอดภัยไซเบอร์กำลังกังวลกับข้อดีข้อเสียของการคำนวณเชิงควอนตัม แม้ประโยชน์จะมีมากมาย ตั้งแต่เรื่องแมชชีนเลิร์นนิ่ง การวิเคราะห์ข้อมูล การวิจัยทางการแพทย์ ไปจนถึงวิทยาการรหัสลับและระบบรักษาความปลอดภัยไซเบอร์ แต่เทคโนโลยีเดียวกันก็ก่อให้เกิดความเสี่ยงและช่องโหว่ใหม่โดยเฉพาะความสามารถในทะลุทะลวงการเข้ารหัสยุคใหม่ซึ่งถือเป็นรากฐานของอินเทอร์เน็ต การสื่อสาร และอีคอมเมิร์ซ ที่เชื่อมผสานสังคมของเราเข้าด้วยกัน

Veritas Backup Exec 22 ราคาไม่แพงแน่นะพี่วี ?

“Backup ข้อมูล 10 vm ราคาเริ่มต้นเพียง 19,000 บาท แถมฟรี Backup Microsoft 365 จำนวน 10 users”