Güvenlik Araştırmacısı, Kusurun Cox’a Ait 700 Açıktaki API’den Kaynaklandığını Söyledi
Chris Riotta (@chrisriotta) •
4 Haziran 2024
Cox Communications’ın arka uç altyapısında yeni keşfedilen kritik bir güvenlik açığı, milyonlarca kurumsal müşteri cihazını, tehdit aktörlerinin hesapları ele geçirmesine ve hassas verilere erişmesine olanak tanıyacak potansiyel saldırılara maruz bıraktı.
Ayrıca bakınız: Siber güvenlik iş gücü gelişimi: Öğrencilere uygulamalı SOC deneyimi sunarken siber güvenliği artıran bir Kamu/Özel Ortaklığı
ABD’nin en büyük geniş bant sağlayıcılarından birini etkileyen kusuru ilk tespit eden bağımsız araştırmacı Sam Curry, Pazartesi günkü bir blog yazısında güvenlik açığının Cox Communications’a ait 700 açıkta kalan API’den kaynaklandığını söyledi. Curry, bu API’lerin birçoğunun, saldırganların kişisel bilgileri çalmasına, milyonlarca modemi değiştirmesine ve komutları yürütmesine olanak verebilecek yönetimsel işlevler içerdiğini söyledi.
“Her API aynı izin sorunundan muzdaripti” dedi ve kusurun, tehdit aktörlerine etkili bir şekilde bir internet servis sağlayıcı destek ekibinin izinlerini verdiğini ekledi. “HTTP isteklerini tekrar tekrar yürütmek, bir saldırganın yetkisiz komutları çalıştırmasına olanak tanır.”
Kusur, web uygulamaları geliştirmek ve API isteklerini işlemek için yaygın olarak kullanılan Spring çerçeve kodundaki belirgin bir hatadan kaynaklandı. Kodlama hatası, Cox Communications’ın özel arka uç sistemine gönderilen proxy API isteklerini etkileyen bir dizi güvenlik açığına yol açarken ön uç dosyaları farklı şekilde sunuldu.
Curry, iki yıl önce ev ağından çalışırken “çok tuhaf bir şey olduğunda” başlayan yamadan bu yana güvenlik açığını ilk kez nasıl keşfettiğine dair bir zaman çizelgesi verdi.
“Dosyaları dışarı çıkarmak için harici bir HTTP sunucusu gerektiren kör bir XXE güvenlik açığından yararlanıyordum, bu yüzden bir AWS kutusu oluşturdum ve savunmasız sunucudan gelen trafiği almak için basit bir Python web sunucusu çalıştırdım” dedi. “Ev ağımla AWS kutusu arasında bir yerde birisi HTTP trafiğimi yakaladı ve yeniden oynattı.”
Kendisi, güvenlik açığından yararlanmak için kullandığı iki sistem arasında herhangi bir aracı bulunmadığından dolayı dışarıdaki tarafların Curry’nin trafiğini görememesi gerektiğini söyledi.
Curry, “Ani düşüncem bilgisayarımın saldırıya uğradığı ve bilgisayar korsanının trafiğimi aktif olarak izlediğiydi” dedi.
Araştırmacı, şirketin cihazlarından birini kullanmayan alternatif bir yöntem kullandıktan sonra Amazon Web Services’in güvenliğinin ihlal edilmediğini kısa sürede belirlemeyi başardı. Daha sonra, ağ trafiğini yeniden oynatan IP adresinin, bir yıl önce “Güney Amerikalı bir siber güvenlik şirketini hedef alan kimlik avı altyapısını barındırmak için” kullanıldığı bir olaya karıştığını keşfetti.
Cox Communications, Information Security Media Group’a gönderdiği bildiride güvenlik açığını tespit ettiği için Curry’ye teşekkür etti.
Cox’un kurumsal iletişim direktörü Christine Woodhouse, “Güvenlik açığını öğrendikten sonra sorunu çözmek için hızlı bir şekilde çalıştık” dedi. “Hiçbir müşteri verisinin tehlikeye atılmadığını veya herhangi bir müşteri cihazının etkilenmediğini doğrulayabiliriz.”