Hackeando milhões de modems (e investigando quem hackeou o meu modem)
Introdução
- Há 2 anos, aconteceu algo estranho enquanto eu explorava uma vulnerabilidade XXE na rede da minha casa.
- Usei uma instância na AWS para executar um servidor web em Python e receber requisições HTTP externas.
- Alguns segundos depois, um endereço IP desconhecido reenviou a mesma requisição HTTP.
159.65.76.209, quem é você?
- Ao investigar o endereço IP, confirmei que ele pertencia à DigitalOcean.
- Esse endereço IP já foi usado no passado para um site de phishing e um servidor de e-mail.
- Ele também estava relacionado a uma campanha de phishing contra a ISG Latam, uma empresa sul-americana de cibersegurança.
Hacker hackeando hacker?
- O endereço IP parece ter sido usado em várias atividades maliciosas ao longo de 3 anos.
- Vários ataques, como sites de phishing e invasões de modems, partiram do mesmo IP.
- Também é possível que o endereço IP tenha circulado entre vários proprietários.
Envio de evidências
- Devolvi ao ISP o modem gateway Cox Panoramic Wifi, que eu suspeitava ter sido comprometido, e recebi um modem novo.
- Depois de instalar o novo modem, o retransmissão anormal de tráfego que ocorria antes desapareceu.
3 anos depois
- Durante uma conversa com amigos, decidi investigar novamente o caso antigo.
- É possível que o operador do malware tenha tentado esconder o servidor de C&C usando um algoritmo de geração de domínios.
Segmentação da API REST usando o protocolo TR-069
- Ao configurar o modem da Cox, descobri que agentes de suporte do ISP podiam gerenciar o dispositivo remotamente por meio do protocolo TR-069.
- Esse protocolo foi implementado em 2004 para permitir que ISPs gerenciem dispositivos dentro da rede.
Hackeando milhões de modems
- Analisei a API do portal Cox Business e confirmei recursos de gerenciamento de dispositivos.
- Verifiquei que a API fornecia funções relacionadas aos dispositivos por meio de seus caminhos.
Carregando recursos estáticos em uma API de proxy reverso
- Usando o Burp Intruder, consegui carregar recursos estáticos ao adicionar
%2f ao final da URL.
- Encontrei mais de 700 chamadas de API na documentação Swagger.
Descoberta de bypass de autorização na API de backend da Cox
- Consegui burlar a autorização ao reenviar requisições de API várias vezes.
- Pela API de busca de clientes, foi possível consultar perfis de clientes empresariais da Cox.
Confirmação de acesso ao equipamento de qualquer pessoa
- Foi possível pesquisar o endereço IP de um modem usando o endereço MAC.
- Pela API, também foi possível consultar os endereços MAC dos equipamentos vinculados à conta de um cliente.
Acesso e atualização de contas de clientes empresariais da Cox
- Foi possível localizar e modificar contas de clientes usando o e-mail.
- Pela API, foi possível consultar PII das contas de clientes e executar comandos por meio dos endereços MAC dos equipamentos.
Sobrescrevendo a configuração do equipamento de qualquer pessoa por meio de segredos criptografados
- Encontrei uma forma de gerar o parâmetro
encryptedValue necessário para requisições de modificação de equipamentos.
Opinião do GN⁺
- Importância da segurança: Este artigo mostra o quão grave pode ser o impacto de vulnerabilidades de segurança em equipamentos de rede. Em especial, a segurança dos equipamentos fornecidos pelo ISP é extremamente importante.
- Segurança de API: Se APIs não forem protegidas corretamente, atacantes podem acessar sistemas com facilidade. É necessário reforçar a segurança de APIs.
- Proteção de dados de clientes: Existe o risco de PII de clientes ficar exposta com facilidade. São necessárias medidas adicionais para proteger esses dados.
- Divulgação de vulnerabilidades: Quando uma vulnerabilidade é descoberta, o processo de divulgá-la e corrigi-la é importante. Isso contribui para elevar o nível geral de segurança.
- Avanço tecnológico: À medida que novas tecnologias são adotadas, as ameaças de segurança também aumentam. São necessários treinamento contínuo em segurança e adoção de tecnologias de segurança atualizadas.
1 comentários
Comentário do Hacker News