Los módems proporcionados por Cox Communications aparentemente eran vulnerables a una vulnerabilidad que permitía a los actores de amenazas robar información confidencial del usuario.
La falla fue descubierta por el investigador de ciberseguridad Sam Curry, quien compartió sus hallazgos con Cox y ayudó a solucionar la vulnerabilidad.
Carey explicó que encontró una vulnerabilidad de omisión de autorización que los actores de amenazas podrían haber utilizado para exponer las API compatibles. Esto les permitiría restablecer configuraciones vulnerables. Módemsy esencialmente se otorgan a sí mismos los mismos permisos que si fueran técnicos de soporte de un ISP.
Aplicaciones prácticas
“Esta serie de vulnerabilidades demostró una forma en la que un atacante completamente externo y sin ningún requisito previo podría ejecutar comandos y modificar la configuración de millones de módems, acceder a la información de identificación personal de cualquier cliente comercial y, esencialmente, obtener los mismos permisos del equipo de soporte de un ISP. . Curry dijo en un Entrada en el blog Un resumen de sus hallazgos.
Las aplicaciones prácticas de esta infracción también son muy graves, ya que los atacantes pueden buscar clientes de Cox utilizando sus nombres, números de teléfono, direcciones de correo electrónico o incluso números de cuenta. Desde allí, pueden robar información valiosa y utilizarla para robo de identidad, ataques de phishing, ingeniería social y más. También pueden robar contraseñas de Wi-Fi de dispositivos conectados.
Las direcciones de correo electrónico vinculadas a diferentes servicios, como teléfono o Internet, equivalen al acceso al sitio web principal de los ciberdelincuentes, ya que esto les ayuda a personalizar los correos electrónicos de phishing y aumenta sus posibilidades de éxito.
Carey también explicó: “Había más de 700 API expuestas y muchas de ellas proporcionaban funciones administrativas (por ejemplo, consultar dispositivos conectados al módem)”. Cada API sufría los mismos problemas de permisos, ya que la reproducción repetida de solicitudes HTTP permitiría a un atacante ejecutar comandos no autorizados. “.
La API vulnerable se eliminó el mismo día que Curry lo informó y Cox lanzó un parche el 3 de marzo.
a través de pitidocomputadora