Els problemes de bypass d’autorització, ja corregits, que afectaven els mòdems de Cox podrien haver estat utilitzats com a punt de partida per obtenir accés no autoritzat als dispositius i executar comandaments malicioses.

«Aquesta sèrie de vulnerabilitats mostra una manera en la qual un atacant totalment extern, sense cap requisit previ, podria haver executat comandaments i modificat la configuració de milions de mòdems, accedit a la informació personal identificable (PII) de qualsevol client empresarial, i haver obtingut essencialment els mateixos permisos que un equip de suport d’un ISP», va dir l’investigador de seguretat Sam Curry en un nou informe publicat avui.

Després de la divulgació responsable del 4 de març de 2024, el proveïdor de banda ampla nord-americà va abordar els problemes de bypass d’autorització abans no transcorreguessin 24 hores. No hi ha proves que aquestes deficiències hagin estat explotades de manera salvatge.

«Em va sorprendre molt l’accés aparentment il·limitat que tenien els ISP que passava totalment inadvertit als dispositius dels clients”, va dir Curry a The Hacker News per correu electrònic.

«Té sentit en retrospectiva que un ISP hagi de poder gestionar aquests dispositius de manera remota, però hi ha una infraestructura interna sencera construïda per companyies com Xfinity que connecta dispositius de consumidors amb API exposades externament. Si un atacant trobava vulnerabilitats en aquests sistemes, podrien comprometre potencialment centenars de milions de dispositius.»

Curry i altres ja havien divulgat anteriorment diverses vulnerabilitats que afectaven milions de vehicles de 16 fabricants diferents que podrien ser explotades per desbloquejar, engegar i rastrejar cotxes. Investigacions posteriors també van descobrir deficiències de seguretat dins points.com que podrien haver estat utilitzades per un atacant per accedir a la informació del client i, fins i tot, obtenir permisos per emetre, gestionar i transferir punts de recompensa.

El punt de partida de l’última investigació es remunta al fet que els agents de suport de Cox tenen la capacitat de controlar remotament i actualitzar la configuració del dispositiu, com canviar la contrasenya de wifi i veure els dispositius connectats, mitjançant el protocol TR-069.

L’anàlisi de Curry del mecanisme subjacent va identificar uns 700 punts finals de l’API exposats, alguns dels quals podrien ser explotats per obtenir funcionalitat administrativa i executar comandaments no autoritzats que aprofiten els problemes de permís i reprodueixen les sol·licituds HTTP repetidament.

Això inclou un punt final «profilesearch» que podria ser explotat per cercar un client i recuperar els detalls del seu compte empresarial només amb el seu nom, i que podria reproduir la sol·licitud un parell de vegades, obtenir les adreces MAC del maquinari connectat al seu compte i, fins i tot, accedir i modificar comptes de clients empresarials.

Però, i encara més preocupant, és que la investigació va trobar que és possible sobreescriure la configuració del dispositiu d’un client assumint que es posseeix un secret criptogràfic necessari quan es gestionen les sol·licituds de modificació de maquinari, i es fa servir finalment per restablir i reiniciar el dispositiu.

«Això significava que un atacant podria haver accedit a aquesta API per sobreescriure la configuració, accedir a l’encaminador i executar comandaments al dispositiu.»

En un escenari d’atac hipotètic, un actor amenaçador podria haver abusat d’aquestes API per buscar un client de Cox, obtenir els seus detalls complets del compte, consultar l’adreça MAC del seu maquinari per recuperar les contrasenyes del wifi i els dispositius connectats, i executar comandaments arbitraris per prendre el control dels comptes.

«Aquest problema probablement es va introduir a causa de les complexitats al voltant de la gestió dels dispositius dels clients com ara encaminadors i mòdems», va dir Curry.

«Fabricar una API REST que pugui parlar universalment amb centenars de models diferents de mòdems i encaminadors és realment complicat. Si n’haguessin previst la necessitat originalment, podrien haver construït un mecanisme més bo d’autorització que no depengués d’un únic protocol intern que tingués accés a tants dispositius. Tenen un problema molt difícil de resoldre.»