Os problemas de desvio de autorização agora corrigidos que afetam os modems Cox podem ter sido usados como ponto de partida para obter acesso não autorizado aos dispositivos e executar comandos maliciosos.
“Essa série de vulnerabilidades demonstrou uma maneira pela qual um invasor totalmente externo, sem pré-requisitos, poderia ter executado comandos e modificado as configurações de milhões de modems, acessado as PII de qualquer cliente empresarial e obtido essencialmente as mesmas permissões de uma equipe de suporte do ISP”, disse o pesquisador de segurança Sam Curry em um novo relatório publicado hoje.
Após a divulgação responsável em 4 de março de 2024, os problemas de desvio de autorização foram resolvidos pelo provedor de banda larga dos EUA em 24 horas. Não há evidências de que essas deficiências tenham sido exploradas em estado selvagem.
“Fiquei realmente surpreso com o acesso aparentemente ilimitado que os ISPs tinham nos bastidores aos dispositivos dos clientes”, disse Curry ao The Hacker Information por e-mail.
“Faz sentido, em retrospecto, que um ISP seja capaz de gerenciar remotamente esses dispositivos, mas há toda uma infraestrutura interna construída por empresas como a Xfinity que conecta dispositivos de consumo a APIs expostas externamente. potencialmente comprometer centenas de milhões de dispositivos.”
Curry et al já divulgaram diversas vulnerabilidades que afetam milhões de veículos de 16 fabricantes diferentes e que poderiam ser exploradas para desbloquear, dar partida e rastrear carros. Pesquisas subsequentes também revelaram falhas de segurança no factors.com que poderiam ter sido usadas por um invasor para acessar informações de clientes e até mesmo obter permissões para emitir, gerenciar e transferir pontos de recompensa.
O ponto de partida da pesquisa mais recente remonta ao fato de que os agentes de suporte da Cox têm a capacidade de controlar e atualizar remotamente as configurações do dispositivo, como alterar a senha do Wi-Fi e visualizar os dispositivos conectados, usando o protocolo TR-069.
A análise de Curry do mecanismo subjacente identificou cerca de 700 endpoints de API expostos, alguns dos quais poderiam ser explorados para obter funcionalidade administrativa e executar comandos não autorizados, armando os problemas de permissão e repetindo as solicitações HTTP repetidamente.
Isso inclui um endpoint “profilesearch” que pode ser explorado para procurar um cliente e recuperar os detalhes de sua conta comercial usando apenas seu nome, repetindo a solicitação algumas vezes, buscando os endereços MAC do {hardware} conectado em sua conta e até mesmo acessando e modificar contas de clientes empresariais.
Ainda mais preocupante, a pesquisa descobriu que é possível substituir as configurações do dispositivo de um cliente, assumindo que ele possui um segredo criptográfico necessário ao lidar com solicitações de modificação de {hardware}, usando-o para redefinir e reiniciar o dispositivo.
“Isso significava que um invasor poderia ter acessado esta API para substituir definições de configuração, acessar o roteador e executar comandos no dispositivo”,
Em um cenário hipotético de ataque, um agente de ameaça poderia ter abusado dessas APIs para procurar um cliente Cox, obter os detalhes completos de sua conta, consultar seu endereço MAC de {hardware} para recuperar senhas de Wi-Fi e dispositivos conectados e executar comandos arbitrários para assumir o controle das contas. .
“Esse problema provavelmente foi introduzido devido às complexidades em torno do gerenciamento de dispositivos de clientes, como roteadores e modems”, disse Curry.
“Construir uma API REST que possa se comunicar universalmente com provavelmente centenas de modelos diferentes de modems e roteadores é realmente complicado. Se eles tivessem visto a necessidade disso originalmente, poderiam ter construído um mecanismo de autorização melhor que não dependesse de um único protocolo interno com acesso a tantos dispositivos Eles têm um problema muito difícil de resolver.”
