Обнаружение серьёзной уязвимости нулевого дня в спутниковых модемах Viasat снова напомнило о хрупкости скрытых компонентов в критических инфраструктурах. Исследователи из компании ONEKEY с помощью автоматизированного статического анализа бинарных файлов выявили опасный баг в моделях RM4100, RM4200, EM4100, RM5110, RM5111, RG1000, RG1100, EG1000 и EG1020.
Уязвимость, получившая идентификатор CVE-2024-6198 и оценённая в 7,7 балла по шкале CVSS, затрагивает веб-интерфейс SNORE, работающий через lighttpd на портах TCP 3030 и 9882. Проблема заключается в небезопасной обработке HTTP-запросов в CGI-бинарнике, расположенном в /usr/local/SNORE. Неверная обработка переменных REQUEST_METHOD и REQUEST_URI приводит к переполнению стека из-за небезопасного разбора пути через функцию sscanf, что позволяет злоумышленнику получить контроль над критическими регистрами системы.
По данным команды, эксплойт может быть реализован с помощью специально сформированного запроса, например, по адресу ” https://192[.]168[.]100[.]1:9882/snore/blackboxes/ , за которым следует 512 повторяющихся символов. Несмотря на наличие защиты в виде неисполняемого стека, успешная эксплуатация всё ещё возможна благодаря использованию техник ROP (Return-Oriented Programming), позволяющим перехватывать поток выполнения кода.
Уязвимые прошивки включают версии ниже 3.8.0.4 для моделей RM4100, RM4200 и EM4100, а также до версии 4.3.0.1 для остальных устройств. Viasat выпустила исправления в обновлениях 3.8.0.4 и 4.3.0.2, распространяемых через автоматические OTA-обновления. Владельцам рекомендуется убедиться в подключении устройств к сети для получения последних версий прошивок и проверить их через административную панель.
Открытие серьёзного недостатка стало результатом рутинного мониторинга прошивок через платформу ONEKEY. По мнению исследовательской команды, случай подтверждает необходимость использования подобных инструментов для защиты комплексных сетевых сред и повышения прозрачности в области встроенного программного обеспечения.
Координированное раскрытие уязвимости началось 15 мая 2024 года и завершилось 25 мая 2025 года, после того как значительная часть устройств в реальном мире была обновлена. Несмотря на несколько продлений сроков исправления, процесс был отмечен эффективным взаимодействием между исследователями и компанией.
Инцидент ещё раз подчеркнул важность раннего обнаружения уязвимостей в скрытых слоях сетевой инфраструктуры. Поскольку спутниковые модемы играют ключевую роль в обеспечении связи, незакрытые уязвимости могут иметь крайне тяжёлые последствия. Своевременные обновления и независимый аудит прошивок становятся обязательными условиями для поддержания безопасности в современном цифровом мире.