Cox modemlerini etkileyen, artık yamalı olan yetkilendirme atlama sorunları, cihazlara yetkisiz erişim sağlamak ve kötü amaçlı komutlar çalıştırmak için bir başlangıç noktası olarak kötüye kullanılmış olabilir.
“Bu güvenlik açıkları dizisi, hiçbir önkoşulu olmayan, tamamen harici bir saldırganın milyonlarca modemin komutlarını yürütüp ayarlarını değiştirebildiğini, herhangi bir ticari müşterinin PII’sine erişebildiğini ve esasen bir ISP destek ekibiyle aynı izinleri elde edebildiğini gösterdi.” güvenlik araştırmacısı Sam Curry söz konusu bugün yayınlanan yeni bir raporda.
4 Mart 2024’teki sorumlu açıklamanın ardından, yetkilendirme atlama sorunları ABD geniş bant sağlayıcısı tarafından 24 saat içinde giderildi. Bu eksikliklerin doğada istismar edildiğine dair hiçbir kanıt yok.
Curry, The Hacker News’e e-posta aracılığıyla şunları söyledi: “ISP’lerin perde arkasında müşteri cihazlarına sınırsız gibi görünen erişimleri beni gerçekten şaşırttı.”
“Geçmişe bakıldığında bir İSS’nin bu cihazları uzaktan yönetebilmesi gerektiği mantıklı geliyor, ancak Xfinity gibi şirketler tarafından oluşturulmuş ve tüketici cihazlarını dışarıdan açığa çıkan API’lere bağlayan tam bir dahili altyapı var. Bir saldırgan bu sistemlerde güvenlik açıkları bulursa, bunu yapabilir. potansiyel olarak yüz milyonlarca cihazı tehlikeye atıyor.”
Curry ve arkadaşları daha önce 16 farklı üreticinin milyonlarca aracını etkileyen ve arabaların kilidini açmak, çalıştırmak ve takip etmek için kullanılabilecek çeşitli güvenlik açıklarını açıklamıştı. Daha sonraki araştırmalar da ortaya çıkarıldı Bir saldırgan tarafından müşteri bilgilerine erişmek ve hatta ödül puanları düzenlemek, yönetmek ve aktarmak için izinler almak için kullanılabilecek, point.com’daki güvenlik kusurları.
En son araştırmaların başlangıç noktası, Cox destek temsilcilerinin Wi-Fi şifresini değiştirme ve bağlı cihazları görüntüleme gibi cihaz ayarlarını uzaktan kontrol etme ve güncelleme yeteneğine sahip olduğu gerçeğine dayanıyor. TR-069 protokolü.
Curry’nin altta yatan mekanizmaya ilişkin analizi, yaklaşık 700 açıkta kalan API uç noktası tespit etti; bunlardan bazıları, izin sorunlarını silah haline getirerek ve HTTP isteklerini tekrar tekrar oynatarak yönetimsel işlevsellik kazanmak ve yetkisiz komutları çalıştırmak için kullanılabilir.
Bu, bir müşteriyi aramak ve isteği birkaç kez tekrarlayarak yalnızca adını kullanarak işletme hesabı ayrıntılarını almak, hesabındaki bağlı donanımın MAC adreslerini almak ve hatta erişim sağlamak için kullanılabilecek bir “profil arama” uç noktasını içerir. ve ticari müşteri hesaplarını değiştirin.
Daha da rahatsız edici olanı, araştırma, donanım değişikliği isteklerini ele alırken gerekli olan bir kriptografik sırra sahip olduklarını varsayarak müşterinin cihaz ayarlarının üzerine yazmanın ve bunu sonuçta cihazı sıfırlamak ve yeniden başlatmak için kullanmanın mümkün olduğunu buldu.
“Bu, bir saldırganın yapılandırma ayarlarının üzerine yazmak, yönlendiriciye erişmek ve cihazda komutları yürütmek için bu API’ye erişebileceği anlamına geliyordu.”
Varsayımsal bir saldırı senaryosunda, bir tehdit aktörü bir Cox müşterisini aramak, hesap ayrıntılarının tamamını almak, Wi-Fi şifrelerini ve bağlı cihazları almak için donanım MAC adresini sorgulamak ve hesapları ele geçirmek için rastgele komutlar çalıştırmak için bu API’leri kötüye kullanabilirdi. .
Curry, “Bu sorun muhtemelen yönlendiriciler ve modemler gibi müşteri cihazlarının yönetimiyle ilgili karmaşıklıklar nedeniyle ortaya çıktı” dedi.
“Muhtemelen yüzlerce farklı modem ve yönlendirici modeliyle evrensel olarak konuşabilen bir REST API oluşturmak gerçekten karmaşıktır. Başlangıçta buna olan ihtiyacı görmüş olsalardı, Tek bir dahili protokolün pek çok cihaza erişimi var. Çözülmesi çok zor bir problem var.”