Command injections via USB upgrade process in STB

[1van]

Kada su krenuli sa digitalizacijom TV signala, u Srbiji su skoro svi imali u početku jeftini Vivax (MSTAR) STB koji nije imao nikakve druge interfejse osim USB-a i IC za daljinac. U jednoj diskusiji neko je rekao da je taj uređaj nemoguće zloupotrebiti, što je meni naravno odmah postao izazov  
Prikačio sam STB na demo uređaj za dijagnostiku IoT komponenti koji sam prethodno razvio za jednog klijenta, i našao sam jako zanimljiv način za eksploataciju.  

Otkrio sam da kada ubacite USB, sistem gleda da li postoji fajl "auto_upgrade.bin", i ako postoji pokreće automatsko ažuriranje. Ali ono što je još zanimljivije je da možete promeniti ime fajla u npr. "auto_upgrade.bin;help" i da izršite help komandu. Detaljnim analiziranjem izlaza preko UART interfejsa uspeo sam da pronađem način (sekvencu komandi) da izmenim boot rutinu i da se ulogujem kao root na uređaj.

2017-02-13 19:11:25 BOOTSPI
2017-02-13 19:11:25 BIST0_OK
2017-02-13 19:11:25 _OK!decomp
2017-02-13 19:11:25 _done
2017-02-13 19:11:25 done
2017-02-13 19:11:25
2017-02-13 19:11:25 Hello U-Boot
2017-02-13 19:11:25
2017-02-13 19:11:25 U-Boot 1.1.6 (Aug 22 2016 - 16:45:10)
2017-02-13 19:11:25
2017-02-13 19:11:25 Board: MSTAR KRITI (CPU Speed 576 MHz)
2017-02-13 19:11:25 DRAM:  64 X 0 MBytes
2017-02-13 19:11:25 U-Boot is running at DRAM 0x87610000
2017-02-13 19:11:26 Module: USB FAT FLASH SPI LOGO OSD ENV=SERIAL
2017-02-13 19:11:26 Flash is detected (0x0C02, 0xC8, 0x40, 0x16)
2017-02-13 19:11:26 In:    serial
2017-02-13 19:11:26 Out:  serial
2017-02-13 19:11:26 Err:  serial
...
2017-02-13 19:11:26 keypad_pressed is [0]
2017-02-13 19:11:26 ir_pressed is [0]
...
2017-02-13 19:11:26 << MStar >>#
...

Više detalja ima ovde: https://security-net.biz/set-top-box-com...grade.html i ovde: https://security-net.biz/files/CoolTerm-...-02-13.txt.