The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выявлена возможность управления модемами миллионов абонентов ISP Cox без аутентификации

04.06.2024 20:10

Клиент Cox Communications, третьего по величине провайдера кабельного телевидения в США и одного из крупнейших операторов широкополосного доступа, насчитывающего 6.5 млн абонентов, опубликовал результаты экспериментов с используемым провайдером внутренним Web API, доступным для внешних запросов и применяемым, среди прочего, для доступа к абонентским модемам и базе пользователей сервиса Cox Business. Оказалось, что, зная лишь MAC-адрес абонентского устройства, можно получить полный контроль над модемом, позволяющий изменять настройки и выполнять любые команды на модеме. По сути, любой атакующий мог получить доступ к модему, аналогичный инженерному доступу, который получает служба поддержки оператора связи. Компания Cox была уведомлена о проблеме 3 апреля и устранила уязвимость на следующий день.

Примечательно, что MAC-адрес абонентского устройства можно было узнать через обращение к публичному Web API без прохождения аутентификации, используя функцию поиска абонентов, например, через выборку по email или по номеру учётной записи (перебирая номера можно последовательно выгрузить данные о клиентах). Помимо MAC-адреса выводились и другие сведения об абоненте, включая адрес, телефон, ФИО и email. Вся информация была доступна для запросов из внешней сети без аутентификации. При этом информацию можно было не только получить, но и изменить.

Всего публично доступный API насчитывал более 700 обработчиков, среди которых многие реализовывали операции по администрированию. Обращение к API осуществлялось через хост myaccount-business.cox.com, связанный с сервисом Xox Business, который среди прочего позволяет пользователям удалённо управлять устройствами, настраивать межсетевой экран и выполнять мониторинг трафика. Непосредственно управление модемом выполнялось провайдерским сервисом через протокол TR-069 (принимает соединения через сетевой порт 7547), предназначенный для удалённой диагностики и управления оборудованием.

Для верификации передачи команд и настроек на модемы пользователей использовался зашифрованный параметр, но функции для шифрования были найдены в одном из скриптов на языке JavaScript, отдаваемых сайтом webcdn-business.cox.com. Ключ для шифрования удалось определить установив в JavaScript-отладчике браузера точку останова на эти функции во время регистрации на сайте myaccount-business.cox.com. Ключ для шифрования формировался с использованием MAC-адреса, идентификатора устройства и номера учётной записи пользователя, а также нескольких вспомогательных параметров, таких как модель устройства и вид доступа.

Сценарий атаки сводится к поиску жертвы через публичный Web API, используя запрос по имени, номеру телефона, email или номеру учётной записи. Далее атакующий обращается к Web API для выгрузки полного набора персональных данных абонента, используя UUID, полученный при поиске на первом этапе. Используя MAC-адрес модема, указанный среди данных об абоненте, атакующий мог посмотреть список подключённых к модему устройств, поменять любые параметры на модеме, запросить пароль, используемый для подключения к Wi-Fi, и выполнить любые команды на устройстве, что можно применить, например, для организации анализа или перенаправления трафика пользователя.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Атака на провайдера, выведшая из строя 659 тысяч домашних маршрутизаторов
  3. OpenNews: Фишинг-атака на платёжную систему Trezor, вероятно проведённая с использованием BGP
  4. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
  5. OpenNews: Интернет-регистратор APNIC по ошибке опубликовал хэши паролей Whois-сервиса
  6. OpenNews: Утечка хэшей паролей Whois-сервиса интернет-регистратора APNIC
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61310-hack
Ключевые слова: hack, isp, modem
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 21:10, 04/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Как вы яхту назовете...

    > зная лишь MAC-адрес абонентского устройства

    Который к тому же немного предсказуем для выводка устройств, так что если сильно надо то и сбрутить можно для энной партии девайсов так то :)

    > включая адрес, телефон, ФИО и email.

    Хотя если брутфорсить не надо, да еще с таким аддоном - так даже прикольнее.

     
  • 1.2, Аноним (-), 21:12, 04/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > функции для шифрования удалось найти в одном из скриптов на языке
    > JavaScript, отдаваемых сайтом webcdn-business.cox.com.
    > Ключ для шифрования удалось определить установив точку останова в JavaScript-отладчике

    Криптографы от сохи^W веба 80 уровня - это зачет!

     
     
  • 2.27, Бывалый Смузихлёб (ok), 09:40, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    и в сишные времена попадалось веселье
    Особенно когда прога требует ввода кода активации, а в самом коде - генерирует его и сравнивает его как строку с тем что ввёл пользователь
    Суть патча сводилась к тому, что чутка патчился вызов и, при неверно введённом ключе, правильный код отображался в сообщении о неверно введённом коде. Буквально, считанные байты замены
    А ведь даже сам код активации непосредственно зависел от параметров железа. Такое ПО-само-кейген порой получалось ещё до повсеместного распространения жс
     
     
  • 3.32, хрю (?), 11:51, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так до сих пор взламываются java приложения. Через javaagent передаётся код, который патчит стандартную библиотеку на геренацию или сравнение какого-нить BigInteger и заодно на блокировку выхода в инет по определённым урлам.
     
  • 3.41, Аноним (-), 16:27, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В случае клиент сервера считать на клиенте такое - это победа в чемпионате бакла... большой текст свёрнут, показать
     
     
  • 4.51, Бывалый Смузихлёб (ok), 13:57, 07/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    последнее с игорами обычно работало. С тем же Райманом-Равинг-Раббитс
    Всм, вроде бы отучил от диска, а по сути - вроде бы и работает, но баллов начисляется сильно меньше и задания становятся гораздо тяжелее. Порой, невозможно-тяжкими
     

  • 1.3, Аноним (3), 21:25, 04/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вернулись в девяностоседьмой!
     
     
  • 2.5, Аноним (-), 21:39, 04/06/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не, это не 97, это позже. Это вот когда всякие фреймворки появились, в которых код для фронтенда и бекенда пишется в одном месте и на одном языке, вот тогда веб-девляпсы начали допускать ошибки, типа проверки пароля на стороне клиента.
     
     
  • 3.25, n00by (ok), 09:25, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Проверка _пароля_ на любой стороне является ошибкой.
     
     
  • 4.31, Аноним (31), 11:21, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ?
    Отдельный сервер атентификации?
     
     
  • 5.34, n00by (ok), 15:39, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Специально обученные люди, кто слышал хотя бы про соль и хеш.
     
  • 2.28, КО (?), 09:43, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Учитывая что технология, по которой взломали, возникла в 2004 мой роутер из 97го даже лучше защищён, лол
     

  • 1.4, anonimus (?), 21:33, 04/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Ну хоть что-то у нас в безопасности!
     
     
  • 2.7, cheburnator9000 (ok), 22:25, 04/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто еще руки не дошли. Все знают какой китайский OEM хлам "продают в аренду" наши интернет провайдеры, с дырами 10 летней давности.
     
     
  • 3.15, Аноним (15), 03:05, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не, ну ты-то главный эксперт по теоретической теории теорий безопасТности, мы знаем. Мог даже не всплывать здесь лавры твои по праву.
     
     
  • 4.16, Аноним (-), 06:26, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Не, ну ты-то главный эксперт по теоретической теории теорий безопасТности,
    > мы знаем. Мог даже не всплывать здесь лавры твои по праву.

    Вообще-то установка OpenWRT на некоторые китайские девайсы - подразумевает гасилово их эксплойтом. Просто потому что uboot господа любезно обгадили до состояния когда без сериального шнурка фиг вы им порулите, а апдейтер прошивки чекает что прошивка вендорская и опенврту влить не даст.

    То-есть это такая штатная инструкция по установке - огреть девайс сплойтом чтобы выполнить команды флешевания опенврты заместо этой дырени. Круто придумано, да? :)

     

  • 1.9, Виндюшатник (?), 22:42, 04/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По умолчанию вас уведомили,что частная собственность,а остальное ваши проблемы.Бгг. Высокий забор все же надежнее.
     
     
  • 2.23, Аноним (23), 08:21, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Там с конкуренцией между провайдерами проблема. Так что куда ты денешься с подводной лодки?
     

  • 1.11, IdeaFix (ok), 23:26, 04/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всё в духе Адриана Ламо...
     
     
  • 2.44, Аноним (44), 20:00, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Всё в духе Адриана Ламо...

    Эти, первое поколение хавкеров были мелкими хулиганами. Типа "бесплатный звонок по межгороду", или "вирус-вандал".

    Сечас всё серъёзно: майнить крипту на твоём компе - ничего личного просто бизнес. Или, шпионская программа прикидывающаяся браузером - Google Chrome. Телеграм, антивирус Касперского - официальный филиалы ФСБ РФ. Intel ME - фирменный троян от Intel.

     
     
  • 3.45, IdeaFix (ok), 21:02, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. Вы не в курсе за классовую вражду мёртвого Митника и мёртвого Ламо? Они немного разные были в плане навыков, инструментов, базы и мотивации.
     

  • 1.12, Аноним (12), 00:14, 05/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Сценарий атаки сводится к поиску жертвы через публичный Web API, используя запрос по имени, номеру телефона, email или номеру учётной записи.
    > номеру телефона

    Ну вы поняли, с нынешней-то любовью каждого сервиса просить номер для аутентификации.

     
  • 1.13, Аноним (13), 00:41, 05/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Люблю такое читать! Полное раздолбайство и пофигизм. Даже завидно, что эти люди получают зарплату, причём американскую. (Да-да, а я сижу на дивани и пишу коммент).
     
     
  • 2.18, mos87 (ok), 06:56, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А уж CIO и его секретутки не просто американскую, а икзикьютивную... Кокса на неё было куплено - страшно подумать. А у них наверняка ещё и безопасник-оффисер есть.

    Впрочем, как и у остальных. IT оно такое. Пока за подобное миллиардные иски выигрываться не будут, то так будет продолжаться. При этом возможность такого ненулевая как раз в Омериге.

     
     
  • 3.20, onanim (?), 07:32, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    директорам кокс, абонентам cocks
     
  • 2.29, Аноним (23), 09:45, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Бывает такое что у датацентра супер проверка безопасности на входе с картами с охранниками за стеклом, который на тебя пристально смотрит, камеры везде. При это заходишь в зал, а там настяж открытая дверь для разгрузки из машин. И никаких охранников. Ну и предвосхищая некоторых экспертов оттуда ничего так и не украли.  
     
  • 2.48, Аноним (-), 06:16, 06/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Замечу что кабель провести и втыкнуть в модем много ума не нужно. Вы смотрели каких специалистов они нанимают и сколько платят?
     
     
  • 3.55, Аноним (55), 13:11, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    О - да! О сочетании букв DHCP не знают вообще никакой информации. Вместо него сам всё делал и учил...

    Кстати, зачем... Абонент сам научит. Профит!

     
  • 2.54, Аноним (55), 13:08, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Другая стратегия. Купить на стороне готовое решение (будто кто-то будет _хорошо_ дорабатывать под них, наивные). Нанять грошовых людей для обслуги (а они НЕ случайно грошовые). Платить мало за чужое, продавать свой сервис подороже. Профит. Но потом всё почему-то скука вроде акции вниз идут и похожее.
     

  • 1.14, Аноним (14), 01:09, 05/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Судя по названию этого ISP, его основали эмигранты из Колумбии что-ли ;)
     
  • 1.19, ryoken (ok), 07:28, 05/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>Xox Business

    или Cox?

    По сути - "заходите, люди добрые, берите что хотите".

     
  • 1.21, Аноним (21), 08:14, 05/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Если бы это было в кино, сказали бы, что автор сценария какую-то ерунду сочинил :)
     
     
  • 2.53, Аноним (55), 13:04, 08/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вы просто не работали в современном IT. :)
     

  • 1.22, Аноним (23), 08:18, 05/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    И что уязвимость была несколько лет, а отчёт появился только сейчас. Так что или было никому не надо или тот кому надо ничего плохо не сделал за всё время. Итог преждевременная оптимизация не нужна пров всё правильно сделал.
     
     
  • 2.24, n00by (ok), 09:21, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хорошо бы узнать, у какого провайдера работает эксперт, написавший "кому надо ничего плохо не сделал" вместо "неизвестно, что было сделано".
     
     
  • 3.26, Аноним (23), 09:38, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты мне ещё тут теорий заговора построй. Сразу пиши кому чего сделали.
     
     
     
     
    Часть нити удалена модератором

  • 6.43, n00by (ok), 16:48, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я же тебе сразу написал: мне любопытно, у какого провайдера такой разгильдяй как ты работает. Что бы случайно не воспользоваться его услугами.
     
  • 2.47, Аноним (-), 06:11, 06/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А специалистов не всегда в штате можно иметь. Порой компании привлекают специалистов из других компаний. В частности по ИБ. Капитализм — экономия средств такая. Возможно то что вам кажется раздолбайством просто не входит в обязанности (недорогих) сотрудников.
     

  • 1.30, tm (?), 11:01, 05/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Тю. А я - дурак, звонил абоненту, и просил его назвать циферки, которые написаны на обратной стороне модема. "Хакеры"
     
  • 1.37, YetAnotherOnanym (ok), 16:04, 05/06/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > TR-069

    Диды telnet юзали и нам завещали.

     
     
  • 2.38, Аноним (31), 16:14, 05/06/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А провайдер будет заботливо с телнетов собирать password/login-ы.
     
     
  • 3.49, YetAnotherOnanym (ok), 15:40, 06/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А провайдер будет заботливо с телнетов собирать password/login-ы.

    Это его, провайдера, логины и пароли, через которые он рулит абонентскими модемами. Ему не надо их собирать, они у него и так уже есть.

     
  • 2.46, Аноним (-), 06:06, 06/06/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Адепт вредных советов
     

  • 1.52, Аноним (55), 13:02, 08/06/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру