Un defecto de seguridad importante en el módem satelital Viasat ampliamente implementado (CVE-2024-6198) permite a los atacantes no autorizados ejecutar el código arbitrario en los dispositivos afectados a través del desbordamiento del búfer de pila en la interfaz web “ronquido”.
La vulnerabilidad con calificación 7.7 (alta) en la escala CVSS V4 afecta múltiples modelos de módem, incluidos RM4100, RM4200, EM4100, RM5110, RM5111, RG1000, RG1100, EG1000 y EG1020.
Descubierto a través del análisis automatizado de firmware realizado por OneKey Research Lab, esta falla destaca los riesgos sistemáticos del software integrado opaco que sustenta la infraestructura crítica.
Vulnerabilidad grave en interfaces de ronquidos modernos
El módem expone servicios web livianos (LightTPD) en los puertos TCP 3030 y 9882 y maneja las funciones de gestión a través de la interfaz de ronquido.
En el núcleo del defecto está el binario index.cgi ubicado en/usr/local/snore, que analiza incorrectamente las rutas de solicitud HTTP.
Al obtener, publicar o eliminar solicitudes para procesar, publicar o eliminar, el script CGI utiliza una llamada SSCANF inestable para extraer parámetros de la variable de entorno request_uri sin verificar la longitud de entrada.
Un atacante puede activar un desbordamiento del búfer de pila enviando un URI malicioso como http://192.168.100.1:9882/snore/blackboxes/aaaaaaaaax.
Esto superará el búfer de ruta de tamaño fijo, sobrescribirá el marco de la pila crítica y secuestrará el registro del contador del programa.
A pesar de la ineficiencia de la protección de la pila, los atacantes evitan la mitigación de la mitigación de la programación orientada a retorno (ROP), reutilizando los fragmentos de código del binario en sí para lograr la ejecución de comandos arbitrarios.
4.0 Vector: H/VA: H, la vulnerabilidad permite ataques de red laterales por usuarios de LAN autenticados o no reconocidos.
La explotación exitosa podría permitir el control total de las operaciones de módem e intercepción de tráfico, cosecha de calificación o implementación de malware permanente en entornos que dependen de las comunicaciones satelitales.
Factor de riesgo Detalles Attected Productsviasat Modem: RM4100, RM4200, EM4100 (firmware <3.8.0.4); RM5110, RM5111, RG1000, RG1100, EG1000, EG1020 (firmware ≤4.3.0.1) antes de la ejecución del código de impactremote a través del desbordamiento del búfer de pila en la explotación de interfaz web SNORE
Firmware y parches afectados
Vulnerabilidades afecta:
RM5110/RM5111/RG1000/RG1100/EG1000/EG1020 Módem ≤4.3.0.1 Ejecución de versiones de firmware por debajo de RM4100/RM4200/EM4100 Módem 3.8.0.4.
Viasat abordó los siguientes defectos:
Versión 3.8.0.4 para dispositivos de la serie RM4100. Versión 4.3.0.2 para la serie RM5110 y modelos posteriores.
La compañía está implementando las actualizaciones de aire (OTA), pero los usuarios deben asegurarse de que el dispositivo esté en línea para recibir el parche y verificar la instalación a través de la interfaz de administración.
Las organizaciones que usan módems afectados deben:
Inmediatamente separan los dispositivos de redes no confiables que tienen actualizaciones pendientes. Registro de auditoría de solicitudes HTTP anormales al puerto 3030/9882. Implemente la segmentación de red para restringir el acceso a la interfaz de ronquido.
Con los módems satelitales cada vez más desplegados en redes energéticas, marítimas y militares, CVE-2024-6198 sirve como un recordatorio para las estrictas revisiones de firmware y el monitoreo de vulnerabilidad en tiempo real en la cadena de suministro.
A medida que los atacantes refinan las técnicas de ROP para los objetivos de IoT, los proveedores deben priorizar el explotador como la integridad del flujo de control y el flujo de control de pila, junto con los mecanismos de distribución de parches.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
