Bir API yetkilendirme bypass hatası önde gelen bir ABD’nin altyapısında geniş bant sağlayıcısı Milyonlarca kurumsal müşteri cihazını saldırılara maruz bırakarak, tehdit aktörlerine sanki bir İnternet servis sağlayıcı (ISP) destek ekibinin üyesiymiş gibi cihazlar üzerindeki izinlere erişim olanağı sağladı.
Cox Communications, bağımsız hata araştırmacısı Sam Curry tarafından tespit edilen kusuru düzeltti. bir blog yazısı Saldırganlar, kötüye kullanılırsa yalnızca ticari müşterilerin kişisel olarak tanımlanabilir bilgilerine (PII) değil, aynı zamanda Wi-Fi şifrelerine ve bağlı cihazlardaki bilgilere de erişim sağlayabilir. Ayrıca cihazlar üzerinde keyfi taleplerde bulunabilir, onları güncelleyebilir veya devralınan müşteri hesapları, diye yazdı.
Curry güvenlik açığının kökenini 700’de buldu açığa çıkan API’ler Gönderide, Cox’un arka uç altyapısında, bir modemin bağlı cihazlarını sorgulama yeteneği gibi “birçok idari işlev sağlayan” bir özellik olduğunu açıkladı.
Curry, “Her API, HTTP isteklerinin tekrar tekrar oynatılmasının bir saldırganın yetkisiz komutlar çalıştırmasına olanak sağladığı aynı izin sorunlarından muzdaripti” diye yazdı. Bu sorun sonuçta, ön uç dosyalarını farklı bir şekilde sunarken API isteklerini özel bir Cox arka ucuna proxy olarak göndermek için kullanılan Spring kodundaki bir hatadan kaynaklandı. Spring, Web uygulamalarının ve hizmetlerinin geliştirilmesini basitleştirmek için yaygın olarak kullanılan bir Java çerçevesidir.
Bu güvenlik açıkları dizisi, hiçbir önkoşulu olmayan harici bir saldırgana komutları yürütme, milyonlarca modemin ayarlarını değiştirme, herhangi bir ticari müşterinin PII’sine erişme ve “esasen bir ISP destek ekibiyle aynı izinleri” elde etme izni verdiğini yazdı.
Cox Modem Saldırı Senaryosunu Keşfetmek
Cox, Curry dahil milyonlarca müşterisiyle ABD’nin en büyük özel geniş bant sağlayıcısı ve üçüncü büyük kablolu TV sağlayıcısıdır.
Araştırmacı ilk olarak birkaç yıl önce kör bir ağdan yararlanmak için ev ağında çalışırken bir şeylerin ters gittiğini fark etti. XML harici varlık ekleme Dosyalara sızmak için harici bir HTTP sunucusu gerektiren (XXE) güvenlik açığı. Araştırması sırasında, savunmasız sunucudan gelen trafiği almak için basit bir Python web sunucusu çalıştırdı ve ardından harici HTTP isteklerini alabildiğinden emin olmak için ev bilgisayarından bir cURL isteği gönderdi.
Kutudan ağ trafiğini alabildiğini ve 10 saniye sonra Curry’nin daha sonra keşfettiği bilinmeyen bir IP adresinin kullanılan birkaç alan adına bağlı olduğunu fark ettiğinde “çok beklenmedik bir şeyle” karşılaştığını fark etti. Kimlik avı kampanyalarında159.65.76.209, tam olarak aynı HTTP isteğini tekrar oynattı.
“Ev ağım ile AWS kutusu arasında bir yerde birisi HTTP trafiğimi yakaladı ve yeniden oynattı” diye yazdı. “Bu trafiğin erişilebilir olmaması gerekiyor. Bu iki sistem arasında bunu görmesi gereken bir aracı yok.”
Curry hemen hacklendiğini düşündü ve Cox’a giderek modemini sorunsuz çalışan yeni bir modemle değiştirdi. Birkaç yıl sonra, güvenlik araştırmacısı arkadaşlarıyla işbirliği yaparak ve birisinin yeni bir Cox modem kurmasına yardım etme fırsatı sayesinde, kendi kişisel olayıyla ilgili soruşturmayı daha da derinleştirdi. Yol boyunca “kazara” “Cox arka uç API’sinde bir yetkilendirme atlaması” olduğunu fark etti.
Kablolu Yayın Kutusu Hatasından Yararlanmak
Curry tarafından keşfedilen kusur, bir saldırganın, “ulaşabileceğimiz 700’den fazla diğer API isteğiyle”, bir HTTP isteğini birden çok kez yeniden oynatarak, savunmasız API uç noktalarındaki yetkilendirmeyi atlamasına izin verdiğini yazdı.
Saldırgan, bu sorundan yararlanmak için adını, telefon numarasını, e-posta adresini veya hesap numarasını kullanarak açığa çıkan yüzlerce API’den herhangi biri aracılığıyla Cox iş hedefini arayabilir. Saldırgan daha sonra, cihazın MAC adresleri, e-posta, telefon numarası ve iş adresi dahil olmak üzere, ilk aramadan döndürülen evrensel benzersiz tanımlayıcıyı (UUID) sorgulayarak müşterinin tam hesap PII’sini alabilir.
Daha sonra bir saldırgan, Wi-Fi şifrelerini ve diğer bağlı cihazlardaki bilgileri almak için müşterinin donanım MAC adresini sorgulayabilir. Curry, son olarak bunun, saldırganın keyfi komutları yürütmesine, herhangi bir cihaz özelliğini güncellemesine ve kurban hesaplarını ele geçirmesine olanak sağlayacağını söyledi.
Cox: Hızlı Yanıt ve Etki Azaltma
Curry, 4 Mart’ta sorumlu açıklama programı aracılığıyla güvenlik açığını Cox’a bildirdi ve güvenlik açığı bir gün sonra yamalandı. Geniş bant sağlayıcısı ayrıca, saldırganlar tarafından kötüye kullanıldığına dair bir geçmişin bulunmadığını da bildirdi.
Bununla birlikte, hikayenin başka bir bölümü daha olabilir çünkü eğer doğruysa, bu, Curry’nin modeminde yaşadığı ve onu soruşturmasına yönlendiren orijinal sorunun (aynı zamanda kimlik avı ile ilgili IP adresinin işin içine dahil olması) hiçbir şey olmadığı anlamına gelir. bunun sonunda keşfettiği güvenlik açığıyla ilgili olduğunu, dolayısıyla bir sır olarak kaldığını belirtti.
Curry şunları yazdı: “Modemi hiçbir zaman dışarıdan erişilebilir hale getirmediğim ve hatta ev ağımdan cihaza giriş yapmadığım için cihazımın tam olarak nasıl ele geçirildiğini hala çok merak ediyorum.” arasındaki güven katmanındaki zayıf noktaları vurgulamak için ISP ve müşteri cihazları“