Cox Communications, uzak saldırganların açıktaki arka uç API’lerini kötüye kullanarak milyonlarca modemin ayarını sıfırlamasına ve müşterilerin hassas kişisel bilgilerini çalmasına olanak tanıyan bir yetkilendirme atlama güvenlik açığını düzeltti.
Cox, ABD’deki en büyük özel geniş bant şirketidir ve 30’dan fazla eyalette neredeyse yedi milyon ev ve işyerine fiber destekli ağlar üzerinden internet, televizyon ve telefon hizmetleri sağlamaktadır.
Hata ödül avcısı Sam Curry, güvenlik kusurunu keşfetti ve başarılı bir şekilde yararlanmanın, tehdit aktörlerine ISP teknik desteğine benzer bir dizi izin verdiğini buldu.
Saldırganlar bu erişimi, savunmasız Cox API’leri aracılığıyla erişilebilen milyonlarca Cox cihazından herhangi birinden yararlanmak, yapılandırma ayarlarının üzerine yazmak ve cihazda komutlar yürütmek için kullanabilirdi.
Örneğin, kötü niyetli aktörler bu kimlik doğrulama atlama güvenlik açığından yararlanarak, açığa çıkan API’ler aracılığıyla adını, telefon numarasını, e-posta adresini veya hesap numarasını kullanarak bir Cox müşterisini arayabilir.
Daha sonra MAC adresleri, e-posta, telefon numaraları ve adresler dahil olmak üzere kişisel olarak tanımlanabilir bilgileri (PII) çalabilirler.
Saldırganlar ayrıca bir önceki saldırı aşamasında çalınan donanımın MAC adresini sorgulayarak bağlı cihazların Wi-Fi şifrelerini ve diğer bilgilerini de toplayabiliyor. Daha sonra yetkisiz komutlar yürütebilir, cihaz ayarlarını değiştirebilir ve kurbanın hesapları üzerinde kontrol sahibi olabilirler.
“Bu güvenlik açıkları dizisi, hiçbir önkoşulu olmayan, tamamen harici bir saldırganın milyonlarca modemin komutlarını yürütüp ayarlarını değiştirebildiğini, herhangi bir ticari müşterinin PII’sine erişebildiğini ve esasen bir ISP destek ekibiyle aynı izinleri elde edebildiğini gösterdi.” Curry dedi.
“Birçoğu idari işlevsellik sağlayan (örn. bir modemin bağlı cihazlarını sorgulamak) 700’den fazla açıkta kalan API vardı. Her API, HTTP isteklerinin tekrar tekrar oynatılmasının bir saldırganın yetkisiz komutlar çalıştırmasına olanak sağladığı aynı izin sorunlarıyla karşı karşıyaydı.”
Şirket, Curry’nin 3 Mart’taki raporundan sonraki altı saat içinde açığa çıkan API çağrılarını kaldırdı ve ertesi gün güvenlik açığını kapattı.
Takip eden güvenlik incelemesinin bir parçası olarak Cox, rapor edilmeden önce bu saldırı vektörünün kötüye kullanılıp kullanılmadığını da araştırdı ancak daha önceki kötüye kullanım girişimlerine dair hiçbir kanıt bulamadığını söyledi.