Vulnerabilidades de Autorización en Módems de Cox
Recientemente se han parcheado problemas de autorización en los módems de Cox que podían ser explotados para acceder no autorizado a los dispositivos y ejecutar comandos maliciosos.
Acceso no autorizado a los dispositivos
«Esta serie de vulnerabilidades demostró una manera en la que un atacante completamente externo, sin requisitos previos, podía ejecutar comandos y modificar las configuraciones de millones de módems, acceder a la PII de cualquier cliente empresarial, y obtener esencialmente los mismos permisos de un equipo de soporte de ISP,»
Sam Curry
Divulgación responsable y parcheo rápido
Tras la divulgación responsable el 4 de marzo de 2024, los problemas de autorización fueron abordados por el proveedor de banda ancha de EE.UU en un plazo de 24 horas. No hay evidencia de que estas deficiencias hayan sido explotadas en la naturaleza.
Sorpresa tras la investigación
«Quedé realmente sorprendido por el acceso aparentemente ilimitado que tenían los ISPs detrás de escena a los dispositivos de los clientes,» Curry dijo a The Hacker News vía correo electrónico.
“En retrospectiva, tiene sentido que un ISP pueda gestionar estos dispositivos de forma remota, pero hay toda una infraestructura interna construida por empresas como Xfinity que conecta dispositivos de consumidores con APIs expuestas externamente.»
Sam Curry
Vulnerabilidades anteriores
Curry y su equipo han divulgado previamente varias vulnerabilidades que afectan millones de vehículos de 16 diferentes fabricantes, las cuales podían ser explotadas para desbloquear, arrancar y rastrear autos.
Investigaciones posteriores también revelaron fallos de seguridad en points.com que podrían haber sido utilizados por un atacante para acceder a la información de los clientes y obtener permisos para emitir, gestionar y transferir puntos de recompensa.
Investigación reciente
El punto de partida de la investigación reciente radica en el hecho de que los agentes de soporte de Cox tienen la capacidad de controlar y actualizar remotamente las configuraciones del dispositivo, como cambiar la contraseña de Wi-Fi y ver dispositivos conectados, utilizando el protocolo TR-069.
El análisis de Curry del mecanismo subyacente identificó unos 700 endpoints de API expuestos, algunos de los cuales podrían ser explotados para obtener permisos administrativos.
Vulnerabilidades en APIs y Permisos: Ataques a Dispositivos de Clientes
Investigaciones recientes han revelado serias vulnerabilidades en las APIs utilizadas para gestionar dispositivos de clientes, como en el caso de Cox.
Estas vulnerabilidades permiten ejecutar comandos no autorizados mediante la explotación de problemas de permisos y la repetición de solicitudes HTTP.
Una de las áreas afectadas es el endpoint «profilesearch». Este puede ser utilizado para buscar un cliente y obtener detalles de su cuenta empresarial solamente utilizando su nombre.
A través de la repetición de solicitudes, es posible obtener las MAC addresses del hardware conectado a su cuenta y hasta modificar cuentas de clientes empresariales.
Lo más preocupante es que la investigación encontró que es posible sobrescribir la configuración de los dispositivos de un cliente, suponiendo que el actor malintencionado posea el secreto criptográfico necesario para manejar las solicitudes de modificación del hardware, utilizándolo para reiniciar y restablecer el dispositivo.
Implicaciones de Seguridad
Según el reportero, «Esto significaba que un atacante podría acceder a esta API para sobrescribir configuraciones, acceder al router y ejecutar comandos en el dispositivo.»
Escenario Hipotético de Ataque
En un escenario hipotético, un actor malicioso podría abusar de estas APIs para buscar un cliente de Cox, obtener sus detalles completos de cuenta, consultar las direcciones MAC de hardware para recuperar contraseñas de Wi-Fi y dispositivos conectados, y ejecutar comandos arbitrarios para tomar el control de las cuentas.
Comentario del Investigador
Curry explicó, «Este problema probablemente fue introducido debido a las complejidades alrededor de la gestión de dispositivos de clientes como routers y módems.
Construir una API REST que pueda comunicarse universalmente con probablemente cientos de diferentes modelos de módems y routers es realmente complicado. Si hubieran visto la necesidad originalmente, podrían haber incorporado un mejor mecanismo de autorización que no dependiera de un único protocolo interno teniendo acceso a tantos dispositivos.
