Problemas de autorização agora corrigidos que impactaram os modems da Cox poderiam ter sido abusados como um ponto de partida para obter acesso não autorizado aos dispositivos e executar comandos maliciosos.

“Esta série de vulnerabilidades demonstrou uma forma na qual um atacante completamente externo, sem pré-requisitos, poderia ter executado comandos e modificado as configurações de milhões de modems, acessado dados PII de qualquer cliente empresarial e essencialmente ter ganho as mesmas permissões de uma equipe de suporte de ISP,” disse o pesquisador de segurança Sam Curry em um novo relatório publicado hoje.

Após a divulgação responsável em 4 de março de 2024, os problemas de bypass de autorização foram corrigidos pelo provedor de banda larga dos EUA em 24 horas. Não há evidências de que essas falhas tenham sido exploradas na prática.

“Fiquei realmente surpreso com o acesso aparentemente ilimitado que os ISPs tinham nos bastidores aos dispositivos dos clientes,” disse Curry ao The Hacker News por e-mail.

“Isso faz sentido em retrospecto que um ISP deve ser capaz de gerenciar remotamente esses dispositivos, mas há uma infraestrutura interna inteira construída por empresas como a Xfinity que conecta dispositivos dos consumidores a APIs externamente expostas. Se um atacante encontrasse vulnerabilidades nesses sistemas, ele poderia comprometer potencialmente centenas de milhões de dispositivos.”

Curry e outros já divulgaram várias vulnerabilidades afetando milhões de veículos de 16 fabricantes diferentes que poderiam ser exploradas para destravar, ligar e rastrear carros. Pesquisas subsequentes também descobriram falhas de segurança dentro da points.com que poderiam ter sido usadas por um atacante para acessar informações de clientes e até obter permissões para emitir, gerenciar e transferir pontos de recompensa.

O ponto de partida da pesquisa mais recente remonta ao fato de que os agentes de suporte da Cox têm a capacidade de controlar e atualizar remotamente as configurações do dispositivo, como alterar a senha do Wi-Fi e visualizar dispositivos conectados, usando o protocolo TR-069.

A análise de Curry do mecanismo subjacente identificou cerca de 700 endpoints de API expostos, alguns dos quais poderiam ser explorados para obter funcionalidade administrativa e executar comandos não autorizados, ao instrumentalizar problemas de permissão e repetir os pedidos HTTP repetidamente.

Isso inclui um endpoint “profilesearch” que poderia ser explorado para procurar por um cliente e recuperar os detalhes da conta comercial usando apenas o nome, repetindo o pedido algumas vezes, buscar os endereços MAC do hardware conectado à conta e até acessar e modificar contas de clientes empresariais.

Ainda mais preocupante, a pesquisa descobriu que é possível sobrescrever as configurações do dispositivo de um cliente assumindo que ele possui um segredo criptográfico necessário ao lidar com solicitações de modificação de hardware, usando-o para redefinir e reiniciar o dispositivo.

“Isso significava que um atacante poderia ter acessado essa API para substituir as configurações, acessar o roteador e executar comandos no dispositivo,” disse Curry.

Em um cenário de ataque hipotético, um ator ameaçador poderia ter abusado dessas APIs para procurar um cliente da Cox, obter todos os detalhes de sua conta, consultar seu endereço MAC de hardware para recuperar senhas de Wi-Fi e dispositivos conectados e executar comandos arbitrários para assumir as contas.

“Este problema provavelmente foi causado pelas complexidades em torno do gerenciamento de dispositivos de clientes como roteadores e modems,” disse Curry.

“Construir uma API REST que pode falar universalmente com provavelmente centenas de diferentes modelos de modems e roteadores é realmente complicado. Se tivessem percebido a necessidade disso inicialmente, eles poderiam ter implementado um mecanismo de autorização melhor que não dependesse de um único protocolo interno ter acesso a tantos dispositivos. Eles têm um problema super difícil de resolver.”