Siber güvenlik araştırmacısı Sam Curry, HTTP trafiği kurulumunu denerken ev ağının tehlikeye atıldığını keşfetti. Araştırmacı, izinsiz girişin belirli cihazlarla sınırlı olmadığını, hem bilgisayarını hem de iPhone’unu etkilediğini keşfetti.
Daha ayrıntılı bir incelemenin ardından Curry, izinsiz girişin yerel bir saldırıdan ziyade Cox modemlerine yönelik büyük bir ihlalden kaynaklanmış olabileceği sonucuna vardı. Saldırganın kimlik avı kampanyaları ve yönlendirici saldırıları geçmişiyle bağlantılı olması nedeniyle bu izinsiz giriş, milyonlarca kişiyi ve tüm ağı etkileyebilir.
Cox Modemleri Yeniden Oynatan Bilinmeyen IP Adresi HTTP İstekleri
Curry, ağının HTTP trafik kurulumunu test etmeye çalışırken, tanımadığı bir IP adresinin (159.65.76.209) ev ağındaki web trafiği isteklerini engellediğini keşfetti. Bu şüpheli davranış tek bir cihaza bağlı değildi ve araştırmacının bilgisayarının yanı sıra iPhone’unu da etkiliyordu.
Bu, olayın yalnızca yerelleştirilmiş bir saldırı senaryosundan çok daha karmaşık olduğuna inanmasına neden oldu. Araştırmacı, AWS (Amazon Web Services) ve GCP (Google Cloud Platform) gibi bulut sağlayıcıları arasında geçiş yaparak izinsiz girişi izole etmeye çalıştığında şüpheli etkinlik devam etti. Bu, modeminin tehlikeye girdiğinden şüphelenmesine yol açtı.
Sam, şüpheli IP adresini Digital Ocean’a kadar takip etti ve bulgularını üç yıl sonra tatildeyken çeşitli tehdit istihbaratı şirketlerinde çalışan arkadaşlarıyla paylaştı ve birlikte sorunun ne kadar büyük olduğunu bulmaya başladılar. Araştırmacılar, bu şüpheli IP adresini, Adidas’ın yanı sıra ISG Latam’da (bir Güney Amerika siber güvenlik şirketi) hedeflenen kimlik avı kampanyaları için içerik barındırma gibi kötü niyetli kullanım geçmişine bağlamayı başardılar.
IP adresi 1.000’den fazla alanı barındırmak için kullanılmıştı; bunların tümü bir adın ardından altı rakam ve üst düzey alan adının kalıbını izliyordu. Bu model, kötü amaçlı yazılım operatörlerinin ek gizleme amacıyla C&C sunucu adreslerini döndürmek için bir etki alanı oluşturma algoritmasının kullanılmasını önerir.
Araştırmacı, aynı IP adresini kullanarak ISG Latam, Adidas ve kendi modemini hedef aldıkları için saldırganın niyetini anlamanın zor olduğunu söyledi.
Gizli API Çağrıları ve İhlalin Kapsamı
Daha da derine inen araştırmacı, sahip olduğu Cox modem modelinde herkesçe bilinen güvenlik açıklarını aradı ancak üç yıl sonra bile bilinen hiçbir açık olmadığını keşfetti.
Araştırmacı, bir arkadaşının Cox Modemini kurmasına yardım ederken, ISP’nin destek numarasını arayarak ve yeni konumdaki cihaza uzaktan bir güncelleme gönderip gönderemeyeceklerini sorarken yönlendiricideki uzaktan yönetim olanağını doğruladı. Destek temsilcisi, bu uzaktan yönetim yeteneğinin cihaz ayarlarını güncellemeyi, WiFi şifrelerini değiştirmeyi ve bağlı cihazlarla ilgili bilgileri içerdiğini açıkladı.
Araştırmacı, ISP’lerin cihazları uzaktan yönetmesine olanak tanıyan TR-069 protokolüne odaklanarak yönlendiricinin uzaktan yönetiminde potansiyel bir arka kapı olduğunu teorileştirdi. Araştırmacının, ISP’nin destek ekipleri tarafından kullanılan bu özelliğin veya araçların kötüye kullanıldığına dair güçlü bir şüphesi vardı.
Cox Business portalının API’sinin incelenmesi üzerine araştırmacı, saldırganların kapsamlı yetkisiz erişim potansiyeline sahip çok sayıda korumasız uç noktayı ortaya çıkardı. Araştırmacı, savunmasız API’nin Cox tarafından sunulan hem konut hem de ticari hizmetlere erişebileceğine inanıyordu.
Araştırmacı, gizli API belgelerini yüklemek için yönlendirici yapılandırma sayfasından yararlanmayı başardı ve teorik olarak bilgisayar korsanlarının milyonlarca Cox müşterisinin modemleri üzerinde kontrol sahibi olmasını sağlayabilecek temel bir güvenlik açığını açığa çıkardı.
Curry bu bulguları sorumlu açıklama sayfası aracılığıyla Cox’a açıkladı. Açıklama, Cox’un savunmasız API çağrılarını altı saat içinde kaldırmasına yol açtı ve araştırmacı, ertesi gün keşfedilen güvenlik açıklarından herhangi birini artık yeniden üretemeyeceklerini doğruladı.
Cox, bildirilen API vektörünün geçmişte istismar edildiğinin gözlemlenmediğini belirtti ancak bildirilen DigitalOcean IP adresiyle herhangi bir bağlantısının olmadığını doğruladı. Araştırmacı, bunun, cihazının blogunda ve ISP hizmetinde açıklanandan farklı bir yöntemle ele geçirildiğini gösterdiğini belirtti.
Modemin gizli API çağrılarındaki güvenlik açıklarını keşfettikten sonra araştırmacının cihazının ele geçirilmesi ve kendisinin ifşa edilmesi, uzaktan yönetilen sistemlerdeki doğal risklerin örnekleridir.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.