Hacking von Millionen Modems und die Untersuchung der Person, die mein Modem gehackt hat

 (samcurry.net)
3 Punkte von GN⁺ 2024-06-05 | 1 Kommentare | Auf WhatsApp teilen

Hacking von Millionen Modems (und die Untersuchung der Person, die mein Modem gehackt hat)

Einleitung

  • Vor zwei Jahren passierte etwas Seltsames, als eine XXE-Schwachstelle im Heimnetzwerk ausgenutzt wurde.
  • Mit einer AWS-Box wurde ein Python-Webserver betrieben, der externe HTTP-Anfragen entgegennahm.
  • Einige Sekunden später sendete eine unbekannte IP-Adresse dieselbe HTTP-Anfrage erneut.

159.65.76.209, wer bist du?

  • Die Untersuchung der IP-Adresse ergab, dass sie DigitalOcean gehört.
  • Diese IP-Adresse wurde in der Vergangenheit für Phishing-Websites und Mailserver verwendet.
  • Sie stand in Verbindung mit einer Phishing-Kampagne gegen das südamerikanische Cybersecurity-Unternehmen ISG Latam.

Hackt der Hacker den Hacker?

  • Die IP-Adresse scheint drei Jahre lang für verschiedene bösartige Aktivitäten genutzt worden zu sein.
  • Phishing-Seiten, Modem-Hacks und andere Angriffe gingen von derselben IP aus.
  • Es ist auch möglich, dass die IP-Adresse zwischen mehreren Besitzern zirkulierte.

Beweise eingereicht

  • Das mutmaßlich kompromittierte Cox Panoramic Wifi Gateway-Modem wurde an den ISP zurückgegeben und durch ein neues ersetzt.
  • Nach der Installation des neuen Modems verschwand die frühere ungewöhnliche Weiterleitung des Datenverkehrs.

Drei Jahre später

  • Während eines Gesprächs mit Freunden wurde beschlossen, den Vorfall aus der Vergangenheit erneut zu untersuchen.
  • Möglicherweise nutzte der Malware-Betreiber einen Domain-Generation-Algorithmus, um den C&C-Server zu verbergen.

Targeting einer REST-API über das TR-069-Protokoll

  • Beim Einrichten des Cox-Modems stellte sich heraus, dass ein ISP-Support-Agent Geräte per TR-069-Protokoll aus der Ferne verwalten kann.
  • Dieses Protokoll wurde 2004 eingeführt und ermöglicht es ISPs, Geräte im Netzwerk zu verwalten.

Hacking von Millionen Modems

  • Durch die Analyse der API des Cox-Business-Portals wurden Funktionen zur Geräteverwaltung identifiziert.
  • Es wurde bestätigt, dass über API-Pfade gerätebezogene Funktionen bereitgestellt werden.

Laden statischer Ressourcen über eine Reverse-Proxy-API

  • Mit Burp Intruder konnten statische Ressourcen geladen werden, indem am Ende der URL %2f angehängt wurde.
  • In der Swagger-Dokumentation wurden mehr als 700 API-Aufrufe gefunden.

Umgehung von Berechtigungen in der Cox-Backend-API entdeckt

  • Durch mehrfaches erneutes Senden von API-Anfragen konnten Berechtigungen umgangen werden.
  • Über eine API zur Kundensuche konnten Profile von Cox-Business-Kunden abgefragt werden.

Bestätigung, dass auf beliebige Geräte zugegriffen werden kann

  • Mit der MAC-Adresse konnte die IP-Adresse des Modems ermittelt werden.
  • Über die API konnten die MAC-Adressen von Geräten abgefragt werden, die mit Kundenkonten verknüpft sind.

Zugriff auf und Aktualisierung von Cox-Business-Kundenkonten

  • Kundenkonten konnten per E-Mail gesucht und verändert werden.
  • Über die API konnten PII aus Kundenkonten abgefragt und über die MAC-Adresse der Geräte Befehle ausgeführt werden.

Mit verschlüsselten Geheimnissen die Konfiguration beliebiger Geräte überschreiben

  • Es wurde ein Weg gefunden, den für Änderungsanfragen an Geräten erforderlichen Parameter encryptedValue zu erzeugen.

Meinung von GN⁺

  • Die Bedeutung von Sicherheit: Dieser Artikel zeigt, wie gravierend sich Sicherheitslücken in Netzwerkausrüstung auswirken können. Besonders wichtig ist die Sicherheit von Geräten, die vom ISP bereitgestellt werden.
  • API-Sicherheit: Wenn APIs nicht angemessen geschützt sind, können Angreifer leicht auf Systeme zugreifen. Die API-Sicherheit muss verstärkt werden.
  • Schutz von Kundendaten: Es besteht das Risiko, dass PII von Kunden leicht offengelegt werden kann. Zusätzliche Sicherheitsmaßnahmen zum Schutz von Daten sind erforderlich.
  • Offenlegung von Schwachstellen: Wenn Schwachstellen entdeckt werden, ist der Prozess ihrer Offenlegung und Behebung wichtig. Das trägt zur Erhöhung des allgemeinen Sicherheitsniveaus bei.
  • Technologischer Fortschritt: Mit der Einführung neuer Technologien nehmen auch Sicherheitsbedrohungen zu. Kontinuierliche Sicherheitsschulungen und die Einführung aktueller Sicherheitstechnologien sind erforderlich.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-06-05
Hacker-News-Kommentar
  • Kommentar verschoben: Der Kommentar wurde zu einem anderen Link verschoben. Der Grund war, dass albinowax_ ihn ursprünglich gepostet hatte, dafür aber leider kein Karma bekam.
  • Erwähnung von xrayarx: Hoffentlich stört es xrayarx nicht. Für solche Fälle ist geplant, eine Funktion zum Teilen von Karma zu implementieren.
  • Vorübergehende Maßnahme: Derzeit wird vorläufig ein manueller Ansatz verwendet.