Hackear millones de módems (e investigar a quien hackeó mi módem)

 (samcurry.net)
3 puntos por GN⁺ 2024-06-05 | 1 comentarios | Compartir por WhatsApp

Hackear millones de módems (e investigar a quien hackeó mi módem)

Introducción

  • Hace 2 años, mientras explotaba una vulnerabilidad XXE en mi red doméstica, ocurrió algo extraño.
  • Usé una instancia en AWS para ejecutar un servidor web en Python y recibir solicitudes HTTP externas.
  • Unos segundos después, una dirección IP desconocida retransmitió la misma solicitud HTTP.

159.65.76.209, ¿quién eres?

  • Al investigar la dirección IP, se confirmó que pertenecía a DigitalOcean.
  • Esta dirección IP había sido utilizada en el pasado para un sitio web de phishing y un servidor de correo.
  • Estaba relacionada con una campaña de phishing dirigida a ISG Latam, una empresa sudamericana de ciberseguridad.

¿Un hacker hackeando a otro hacker?

  • Parece que la dirección IP fue usada durante 3 años para múltiples actividades maliciosas.
  • Distintos ataques, como sitios de phishing y hackeo de módems, se originaron desde la misma IP.
  • También es posible que la dirección IP haya circulado entre varios propietarios.

Presentación de evidencia

  • Devolví al ISP un módem gateway Cox Panoramic Wifi que sospechaba que había sido comprometido y recibí uno nuevo.
  • Después de instalar el nuevo módem, desapareció la retransmisión anómala de tráfico que ocurría antes.

3 años después

  • Durante una conversación con amigos, decidí volver a investigar el caso del pasado.
  • Es posible que el operador del malware haya intentado ocultar su servidor C&C usando un algoritmo de generación de dominios.

Apuntando a la API REST mediante el protocolo TR-069

  • Mientras configuraba el módem de Cox, me enteré de que un agente de soporte del ISP podía administrar remotamente el dispositivo mediante el protocolo TR-069.
  • Este protocolo fue implementado en 2004 y permite a los ISP gestionar dispositivos dentro de la red.

Hackeando millones de módems

  • Analicé la API del portal de Cox Business y confirmé funciones de administración de dispositivos.
  • Verifiqué que, a través de rutas de la API, se ofrecían funciones relacionadas con los dispositivos.

Carga de recursos estáticos desde una API de proxy inverso

  • Usando Burp Intruder, pude cargar recursos estáticos agregando %2f al final de la URL.
  • En la documentación de Swagger identifiqué más de 700 llamadas a la API.

Descubrimiento de bypass de autorización en la API backend de Cox

  • Pude omitir la autorización retransmitiendo varias veces las solicitudes de la API.
  • A través de la API de búsqueda de clientes, pude consultar perfiles de clientes empresariales de Cox.

Confirmación de acceso al equipo de cualquiera

  • Pude buscar la dirección IP de un módem usando su dirección MAC.
  • A través de la API, pude consultar las direcciones MAC de los equipos vinculados a cuentas de clientes.

Acceso y actualización de cuentas de clientes empresariales de Cox

  • Pude buscar y modificar cuentas de clientes mediante el correo electrónico.
  • A través de la API, pude consultar la PII de cuentas de clientes y ejecutar comandos usando las direcciones MAC de los equipos.

Sobrescribir la configuración del equipo de cualquiera mediante secretos cifrados

  • Encontré una forma de generar el parámetro encryptedValue necesario para las solicitudes de modificación del equipo.

Opinión de GN⁺

  • Importancia de la seguridad: Este artículo muestra cuán graves pueden ser los efectos de las vulnerabilidades de seguridad en equipos de red. En particular, la seguridad de los equipos proporcionados por los ISP es muy importante.
  • Seguridad de APIs: Si una API no está protegida correctamente, un atacante puede acceder fácilmente al sistema. Es necesario fortalecer la seguridad de las APIs.
  • Protección de datos de clientes: Existe el riesgo de que la PII de los clientes quede expuesta con facilidad. Se necesitan medidas de seguridad adicionales para proteger los datos.
  • Divulgación de vulnerabilidades: Cuando se descubre una vulnerabilidad, es importante el proceso de divulgarla y resolverla. Esto contribuye a elevar el nivel general de seguridad.
  • Avance tecnológico: A medida que se introducen nuevas tecnologías, también aumentan las amenazas de seguridad. Se requiere educación continua en seguridad y adopción de tecnologías de seguridad actualizadas.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-06-05
Opinión de Hacker News
  • Movimiento de comentarios: Los comentarios fueron movidos a otro enlace. La razón fue que albinowax_ lo publicó primero, pero lamentablemente no obtuvo karma.
  • Mención de xrayarx: Espero que xrayarx no se sienta incómodo. Planeo implementar una función para compartir karma para casos como este.
  • Medida temporal: Por ahora, se está usando temporalmente un enfoque manual.