Onderzoeker ontdekt gebreken in Cox-modems, die mogelijk gevolgen hebben voor miljoenen

De nu gepatchte problemen met het omzeilen van autorisatie die van invloed zijn op Cox-modems hadden kunnen worden misbruikt als uitgangspunt om ongeautoriseerde toegang tot de apparaten te verkrijgen en kwaadaardige opdrachten uit te voeren.

“Deze reeks kwetsbaarheden demonstreerde een manier waarop een volledig externe aanvaller zonder vereisten opdrachten had kunnen uitvoeren en de instellingen van miljoenen modems had kunnen wijzigen, toegang had kunnen krijgen tot de PII van een zakelijke klant en in wezen dezelfde machtigingen had kunnen verkrijgen als een ISP-ondersteuningsteam”, zegt hij. Dat zegt veiligheidsonderzoeker Sam Curry in een nieuw rapport dat vandaag is gepubliceerd.

Na een verantwoorde openbaarmaking op 4 maart 2024 werden de problemen met het omzeilen van de autorisatie binnen 24 uur door de Amerikaanse breedbandprovider verholpen. Er is geen bewijs dat deze tekortkomingen in het wild zijn uitgebuit.

“Ik was echt verrast door de schijnbaar onbeperkte toegang die ISP's achter de schermen hadden tot apparaten van klanten”, vertelde Curry via e-mail aan The Hacker News.

“Achteraf gezien is het logisch dat een ISP deze apparaten op afstand moet kunnen beheren, maar er is een hele interne infrastructuur gebouwd door bedrijven als Xfinity die consumentenapparaten verbindt met extern blootgestelde API’s. Als een aanvaller kwetsbaarheden in deze systemen zou vinden, zouden ze dat kunnen doen.” kunnen mogelijk honderden miljoenen apparaten in gevaar brengen.”

Curry et al. hebben eerder verschillende kwetsbaarheden onthuld die miljoenen voertuigen van 16 verschillende fabrikanten treffen en die kunnen worden misbruikt om auto's te ontgrendelen, starten en volgen. Daaropvolgend onderzoek bracht ook beveiligingsfouten binnen points.com aan het licht die door een aanvaller hadden kunnen worden gebruikt om toegang te krijgen tot klantinformatie en zelfs toestemming te verkrijgen om beloningspunten uit te geven, te beheren en over te dragen.

Het uitgangspunt van het laatste onderzoek gaat terug op het feit dat Cox-ondersteuningsagenten de mogelijkheid hebben om de apparaatinstellingen op afstand te controleren en bij te werken, zoals het wijzigen van het Wi-Fi-wachtwoord en het bekijken van aangesloten apparaten, met behulp van het TR-069-protocol.

Curry's analyse van het onderliggende mechanisme identificeerde ongeveer 700 blootgestelde API-eindpunten, waarvan sommige kunnen worden uitgebuit om administratieve functionaliteit te verkrijgen en ongeautoriseerde opdrachten uit te voeren door de toestemmingsproblemen te bewapenen en de HTTP-verzoeken herhaaldelijk af te spelen.

Dit omvat een “profilesearch”-eindpunt dat kan worden misbruikt om naar een klant te zoeken en zijn zakelijke accountgegevens op te halen met alleen zijn naam door het verzoek een paar keer te herhalen, de MAC-adressen van de aangesloten hardware op zijn account op te halen en zelfs toegang te krijgen en zakelijke klantaccounts wijzigen.

Nog verontrustender is dat uit het onderzoek is gebleken dat het mogelijk is om de apparaatinstellingen van een klant te overschrijven, ervan uitgaande dat deze in het bezit is van een cryptografisch geheim dat nodig is bij het afhandelen van verzoeken om hardwarewijzigingen, en dit te gebruiken om uiteindelijk het apparaat te resetten en opnieuw op te starten.

“Dit betekende dat een aanvaller toegang had kunnen krijgen tot deze API om configuratie-instellingen te overschrijven, toegang te krijgen tot de router en opdrachten op het apparaat uit te voeren”,

In een hypothetisch aanvalsscenario had een bedreigingsacteur deze API's kunnen misbruiken om een ​​Cox-klant op te zoeken, hun volledige accountgegevens te verkrijgen, hun hardware-MAC-adres op te vragen om wifi-wachtwoorden en aangesloten apparaten op te halen, en willekeurige opdrachten uit te voeren om de accounts over te nemen. .

“Dit probleem is waarschijnlijk ontstaan ​​vanwege de complexiteit rond het beheer van apparaten van klanten, zoals routers en modems”, aldus Curry.

“Het bouwen van een REST API die universeel kan communiceren met waarschijnlijk honderden verschillende modellen modems en routers is erg ingewikkeld. Als ze hier oorspronkelijk de noodzaak van hadden ingezien, hadden ze een beter autorisatiemechanisme kunnen inbouwen dat niet afhankelijk zou zijn van een Eén intern protocol dat toegang heeft tot zoveel apparaten. Ze hebben een supermoeilijk probleem om op te lossen.”

Thijs Van der Does