Hack hàng triệu modem và điều tra kẻ đã hack modem của tôi

Hack hàng triệu modem (và điều tra người đã hack modem của tôi)

Giới thiệu

• 2 năm trước, khi khai thác lỗ hổng XXE trong mạng gia đình, đã xảy ra một chuyện kỳ lạ.
• Tôi dùng một máy AWS để chạy máy chủ web Python và nhận các yêu cầu HTTP từ bên ngoài.
• Vài giây sau, một địa chỉ IP không rõ danh tính đã phát lại đúng yêu cầu HTTP đó.

159.65.76.209, bạn là ai?

• Kết quả điều tra cho thấy địa chỉ IP này thuộc sở hữu của DigitalOcean.
• Địa chỉ IP này trước đây từng được dùng cho website lừa đảo và máy chủ mail.
• Nó có liên quan đến một chiến dịch phishing nhắm vào công ty an ninh mạng Nam Mỹ ISG Latam.

Hacker hack hacker?

• Có vẻ địa chỉ IP này đã bị dùng cho nhiều hoạt động độc hại trong suốt 3 năm.
• Nhiều cuộc tấn công khác nhau như trang phishing, hack modem, v.v. đều xuất phát từ cùng một IP.
• Cũng có khả năng địa chỉ IP này đã được luân chuyển giữa nhiều chủ sở hữu.

Nộp bằng chứng

• Tôi trả lại modem gateway Cox Panoramic Wifi bị nghi đã bị xâm nhập cho ISP và nhận một modem mới.
• Sau khi lắp modem mới, hiện tượng phát lại lưu lượng bất thường trước đó đã biến mất.

3 năm sau

• Trong lúc trò chuyện với bạn bè, tôi quyết định điều tra lại vụ việc trong quá khứ.
• Có khả năng operator của malware đã dùng thuật toán tạo tên miền để che giấu máy chủ C&C.

Nhắm mục tiêu REST API bằng giao thức TR-069

• Khi cấu hình modem Cox, tôi biết được rằng agent hỗ trợ của ISP có thể quản lý thiết bị từ xa thông qua giao thức TR-069.
• Giao thức này được triển khai từ năm 2004, cho phép ISP quản lý các thiết bị trong mạng.

Hack hàng triệu modem

• Bằng cách phân tích API của cổng Cox Business, tôi xác nhận được các tính năng quản lý thiết bị.
• Tôi xác nhận rằng các đường dẫn API cung cấp những chức năng liên quan đến thiết bị.

Tải tài nguyên tĩnh từ reverse proxy API

• Dùng Burp Intruder, tôi có thể tải tài nguyên tĩnh bằng cách thêm %2f vào cuối URL.
• Trong tài liệu Swagger, tôi xác nhận có hơn 700 lệnh gọi API.

Phát hiện bỏ qua phân quyền trong API backend của Cox

• Tôi có thể vượt qua phân quyền bằng cách phát lại yêu cầu API nhiều lần.
• Thông qua API tìm kiếm khách hàng, tôi có thể tra cứu hồ sơ của khách hàng doanh nghiệp Cox.

Xác nhận có thể truy cập thiết bị của bất kỳ ai

• Tôi có thể tra cứu địa chỉ IP của modem bằng địa chỉ MAC.
• Thông qua API, tôi có thể tra cứu địa chỉ MAC của thiết bị được liên kết với tài khoản khách hàng.

Truy cập và cập nhật tài khoản khách hàng doanh nghiệp Cox

• Tôi có thể tìm kiếm và sửa đổi tài khoản khách hàng thông qua email.
• Thông qua API, tôi có thể tra cứu PII của tài khoản khách hàng và thực thi lệnh qua địa chỉ MAC của thiết bị.

Ghi đè cấu hình thiết bị của bất kỳ ai bằng bí mật được mã hóa

• Tôi đã tìm ra cách tạo tham số encryptedValue cần thiết cho yêu cầu sửa đổi thiết bị.

Ý kiến của GN⁺

• Tầm quan trọng của bảo mật: Bài viết này cho thấy các lỗ hổng bảo mật trong thiết bị mạng có thể gây ra tác động nghiêm trọng đến mức nào. Đặc biệt, bảo mật của thiết bị do ISP cung cấp là cực kỳ quan trọng.
• Bảo mật API: Nếu API không được bảo vệ đúng cách, kẻ tấn công có thể dễ dàng truy cập hệ thống. Cần tăng cường bảo mật API.
• Bảo vệ dữ liệu khách hàng: Có nguy cơ PII của khách hàng bị lộ một cách dễ dàng. Cần thêm các biện pháp bảo mật để bảo vệ dữ liệu.
• Công bố lỗ hổng: Khi phát hiện lỗ hổng, quá trình công bố và khắc phục là rất quan trọng. Điều này góp phần nâng cao mức độ an toàn bảo mật tổng thể.
• Tiến bộ công nghệ: Khi công nghệ mới được đưa vào, các mối đe dọa bảo mật cũng tăng theo. Cần đào tạo bảo mật liên tục và áp dụng các công nghệ bảo mật mới nhất.