Hack hàng triệu modem và điều tra kẻ đã hack modem của tôi

 (samcurry.net)
2 điểm bởi GN⁺ 2024-06-05 | 1 bình luận | Chia sẻ qua WhatsApp
  • Trong lúc kiểm thử lỗ hổng tại nhà cách đây 2 năm, tôi đã gặp một chuyện rất kỳ lạ
  • Tôi dựng một máy chủ HTTP trên một box AWS để lấy tệp từ máy chủ dễ bị tấn công
  • Mọi cấu hình có vẻ đều ổn, nhưng ngay khi định quay lại bài kiểm thử lỗ hổng, một bản ghi ngoài dự kiến đã xuất hiện
  • Có ai đó đã chặn rồi phát lại cùng một yêu cầu HTTP sau 10 giây giữa mạng gia đình của tôi và box AWS
  • Lưu lượng này lẽ ra không thể bị truy cập và không nên có bên trung gian nào
  • Điều tôi nghĩ đến ngay là máy tính của mình đã bị xâm nhập và kẻ tấn công đang chủ động giám sát lưu lượng
  • Tôi kiểm tra xem hiện tượng tương tự có xảy ra trên iPhone hay không, và một địa chỉ IP không xác định đã chặn rồi phát lại cả các yêu cầu HTTP từ máy tính lẫn iPhone của tôi
  • Có vẻ nhiều khả năng một trong ba nơi đã bị xâm nhập: ISP, modem hoặc AWS
  • Để loại trừ ý nghĩ vô lý rằng AWS đã bị hack, tôi bật một box trên GCP và hiện tượng y hệt vẫn xảy ra
  • Khả năng duy nhất còn lại là modem đã bị hack, nhưng kẻ tấn công là ai? Tra cứu chủ sở hữu địa chỉ IP thì thấy nó thuộc DigitalOcean
  • Địa chỉ IP đó đã được dùng cho nhiều trang phishing và máy chủ thư trong vài năm gần đây
  • Thiết bị bị xâm nhập vẫn tiếp tục hoạt động, nên tôi rút điện rồi cất nó vào hộp
  • Tôi đến cửa hàng Cox để trả lại modem đã bị hack và nhận một cái mới
  • Sau khi lắp modem mới, hành vi bất thường dừng lại, nhưng vẫn không rõ modem đã bị xâm nhập chính xác bằng cách nào
  • Ba năm sau, trong một kỳ nghỉ cùng những người bạn là chuyên gia bảo mật, tôi kể lại sự việc này và họ thấy hứng thú rồi bắt đầu điều tra
  • Khi xem các tên miền mà địa chỉ IP đó đăng ký, họ thấy một lượng lớn domain được tạo bằng thuật toán. Điều này gợi ý đây là một máy chủ C&C
  • Kẻ tấn công đã thực hiện nhiều hoạt động độc hại khác nhau từ cùng địa chỉ IP đó nhưng không bị đình chỉ suốt 3 năm. Rất khó xác định mục đích của chúng
  • Vì modem mới cũng là cùng một mẫu, họ cũng tính đến khả năng kẻ tấn công đã xâm nhập lại
  • Họ chú ý đến việc ISP có thể quản lý thiết bị qua giao thức TR-069. Nếu hạ tầng công cụ hỗ trợ bị tấn công thì modem có thể bị kiểm soát
  • Phân tích JavaScript của cổng Cox Business, họ phát hiện hơn 700 đường dẫn API. Trong số đó, các API có nhiều chức năng truy cập thiết bị và tài khoản khách hàng nhất là accountequipment, datainternetgateway, và account
  • Họ phát hiện một lỗ hổng cho phép bỏ qua xác thực. Chỉ cần gửi lặp lại các yêu cầu HTTP là có thể thực thi lệnh trái phép
  • Họ xác nhận có thể giao tiếp trực tiếp với thiết bị của bất kỳ ai chỉ bằng địa chỉ MAC. Cox phục vụ hàng triệu khách hàng
  • Họ chứng minh có thể ghi đè cấu hình thiết bị, truy cập router và thực thi lệnh trên thiết bị, tức có quyền gần tương đương đội hỗ trợ kỹ thuật của ISP
  • Đây là một lỗ hổng cho phép thay đổi cấu hình của hàng triệu modem, truy cập PII của khách hàng và có được quyền ở cấp đội hỗ trợ của ISP mà không cần điều kiện tiên quyết
  • Kịch bản sự cố như sau
    1. Tìm kiếm khách hàng Cox Business qua API
    2. Lấy PII của khách hàng như địa chỉ MAC thiết bị, email, số điện thoại, địa chỉ, v.v. bằng UUID
    3. Dùng địa chỉ MAC để xem mật khẩu WiFi và các thiết bị đã kết nối
    4. Thực thi lệnh tùy ý, thay đổi thuộc tính thiết bị, chiếm đoạt tài khoản
  • Họ đã báo lỗ hổng cho Cox, và trong vòng 6 giờ công ty đã chặn API và bắt đầu sửa lỗi xác thực
  • Trong hơn 700 API bị lộ, phần lớn cung cấp chức năng quản trị, và tất cả đều gặp cùng một vấn đề về quyền hạn
  • Trường hợp này cho thấy lỗ hổng trong tầng tin cậy giữa ISP và thiết bị của khách hàng
  • Tôi vẫn rất tò mò modem của mình đã bị hack chính xác như thế nào. Tôi cũng không hiểu vì sao kẻ tấn công lại phát lại lưu lượng
  • Hoan nghênh mọi giả thuyết hoặc ý kiến

Ý kiến của GN⁺

  • Lỗ hổng bảo mật: Bài viết này cho thấy lỗ hổng bảo mật của ISP có thể gây ảnh hưởng nghiêm trọng đến mức nào. Đặc biệt, khả năng thay đổi cấu hình thiết bị từ xa có thể bị lạm dụng.
  • Bảo mật API: Nhấn mạnh tầm quan trọng của bảo mật API. Các lỗ hổng như bỏ qua xác thực có thể dẫn đến vấn đề bảo mật nghiêm trọng.
  • Bảo vệ dữ liệu người dùng: Cảnh báo về rủi ro thông tin cá nhân và cấu hình thiết bị của khách hàng có thể bị lộ một cách dễ dàng. ISP cần áp dụng các biện pháp bảo mật mạnh hơn để bảo vệ các dữ liệu này.
  • Hiểu biết kỹ thuật: Bằng cách giải thích các chi tiết kỹ thuật sao cho ngay cả kỹ sư phần mềm mới vào nghề cũng có thể hiểu, bài viết giúp người đọc học cách phát hiện và khắc phục lỗ hổng bảo mật.
  • Đưa ra phương án thay thế: Để giải quyết các vấn đề như thế này, việc sử dụng thiết bị mạng và giao thức bảo mật an toàn hơn là rất quan trọng. Có thể cân nhắc ISP khác hoặc các giải pháp bảo mật khác.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-06-05
Ý kiến Hacker News
  • Ấn tượng với cách Cox phản hồi có trách nhiệm, không phủ nhận vấn đề hay công kích người đưa tin. Muốn đọc bài theo dõi để biết lỗi cụ thể là gì.
  • Thật khó chịu khi ISP ép người dùng phải dùng modem hoặc router của họ. Router AT&T cũng có thể bị hack, nhưng may là vẫn có HTTPS.
  • Đây là một bài viết và cuộc điều tra rất xuất sắc. Có vẻ giao diện quản trị cục bộ của router Nokia không xác thực đúng cách. Dù không thể thay đổi một số thiết lập cụ thể, vẫn có thể chỉnh sửa trang để thay đổi chúng.
  • Nhiều router yêu cầu cập nhật firmware thủ công. Router GL.iNet gần đây có lỗ hổng RCE. Nên cập nhật firmware và thực hiện các biện pháp như vô hiệu hóa truy cập SSH.
  • Vẫn còn thắc mắc kẻ tấn công đã chặn lưu lượng HTTP bằng cách nào. Cox có thể kiểm tra phiên bản firmware và khắc phục sự cố qua cập nhật tự động.
  • Cox tuyên bố lỗ hổng này trước đây chưa từng bị khai thác, nhưng khó mà tin được. Mạng của họ quá lỏng lẻo.
  • Thật sốc khi một lỗ hổng lớn như vậy lại được phát hiện ở một công ty công nghệ lớn. Bài viết rất hay, nhưng lỗ hổng này thì không thể bào chữa được.
  • Tò mò không biết người báo cáo lỗ hổng có nhận được phần thưởng nào không. Anh ấy đã đóng góp rất lớn nhưng có vẻ chẳng nhận được gì. Điều đó thật sự rất xúc phạm.
  • Có lẽ Cox nói trước đây chưa từng bị khai thác là vì họ thiếu log hoặc dữ liệu kiểm toán.
  • Nội dung bài viết rất tốt, nhưng một kẻ tấn công quyết tâm vẫn có thể giả làm kỹ thuật viên Cox để tiếp cận. ISP nên triển khai cấu hình tắt truy cập từ xa theo mặc định.