Enquête sur le piratage de millions de modems et sur la personne qui a piraté mon modem

 (samcurry.net)
3 points par GN⁺ 2024-06-05 | 1 commentaires | Partager sur WhatsApp

Pirater des millions de modems (et enquêter sur la personne qui a piraté mon modem)

Introduction

  • Il y a deux ans, alors que j’exploitais une vulnérabilité XXE sur mon réseau domestique, quelque chose d’étrange s’est produit.
  • J’utilisais une instance AWS pour exécuter un serveur web Python et recevoir des requêtes HTTP externes.
  • Quelques secondes plus tard, une adresse IP inconnue a retransmis la même requête HTTP.

159.65.76.209, qui es-tu ?

  • Après enquête sur l’adresse IP, il s’est avéré qu’elle appartenait à DigitalOcean.
  • Cette adresse IP avait déjà été utilisée par le passé pour un site de phishing et un serveur mail.
  • Elle est liée à une campagne de phishing visant ISG Latam, une entreprise de cybersécurité sud-américaine.

Un hacker qui pirate un hacker ?

  • L’adresse IP semble avoir été utilisée pendant trois ans pour diverses activités malveillantes.
  • Des sites de phishing, du piratage de modems et d’autres attaques provenaient de la même IP.
  • Il est aussi possible que l’adresse IP ait circulé entre plusieurs propriétaires.

Soumission des preuves

  • Le modem passerelle Cox Panoramic Wifi soupçonné d’avoir été compromis a été retourné au FAI, et un nouveau modem a été fourni.
  • Après l’installation du nouveau modem, les précédentes retransmissions anormales de trafic ont disparu.

Trois ans plus tard

  • Au cours d’une discussion avec des amis, il a été décidé de réexaminer cette ancienne affaire.
  • L’opérateur du malware a peut-être tenté de dissimuler son serveur C&C à l’aide d’un algorithme de génération de domaines.

Ciblage d’une API REST via le protocole TR-069

  • Lors de la configuration du modem Cox, il est apparu que les agents de support du FAI pouvaient gérer l’appareil à distance via le protocole TR-069.
  • Ce protocole, implémenté en 2004, permet aux FAI d’administrer les appareils présents sur le réseau.

Pirater des millions de modems

  • L’analyse de l’API du portail Cox Business a permis de confirmer des fonctions de gestion des appareils.
  • Il a été vérifié que des fonctionnalités liées aux appareils étaient exposées via les chemins d’API.

Chargement de ressources statiques depuis l’API du reverse proxy

  • En utilisant Burp Intruder, il a été possible de charger des ressources statiques en ajoutant %2f à la fin de l’URL.
  • Plus de 700 appels d’API ont été identifiés dans la documentation Swagger.

Découverte d’un contournement d’autorisation dans l’API backend de Cox

  • En rejouant plusieurs fois des requêtes API, il a été possible de contourner les autorisations.
  • L’API de recherche client permettait de consulter les profils des clients professionnels de Cox.

Confirmation qu’il était possible d’accéder à l’équipement de n’importe qui

  • Il a été possible de rechercher l’adresse IP d’un modem à l’aide de son adresse MAC.
  • L’API permettait de rechercher les adresses MAC des équipements associés au compte d’un client.

Accès et mise à jour des comptes clients professionnels Cox

  • Il a été possible de rechercher et de modifier des comptes clients via l’adresse e-mail.
  • L’API permettait de consulter les PII des comptes clients et d’exécuter des commandes via les adresses MAC des équipements.

Écraser la configuration de l’équipement de n’importe qui grâce à un secret chiffré

  • Une méthode a été trouvée pour générer le paramètre encryptedValue requis pour les requêtes de modification d’équipement.

L’avis de GN⁺

  • Importance de la sécurité : cet article montre à quel point les vulnérabilités de sécurité des équipements réseau peuvent avoir des conséquences graves. La sécurité des équipements fournis par les FAI est particulièrement cruciale.
  • Sécurité des API : si une API n’est pas correctement protégée, un attaquant peut facilement accéder au système. Un renforcement de la sécurité des API est nécessaire.
  • Protection des données clients : il existe un risque que les PII des clients soient facilement exposées. Des mesures de sécurité supplémentaires sont nécessaires pour protéger les données.
  • Divulgation des vulnérabilités : lorsqu’une vulnérabilité est découverte, le processus de divulgation et de correction est essentiel. Cela contribue à améliorer le niveau global de sécurité.
  • Évolution technologique : à mesure que de nouvelles technologies sont adoptées, les menaces de sécurité augmentent elles aussi. Une formation continue à la sécurité et l’adoption de technologies de sécurité récentes sont nécessaires.

À lire aussi

1 commentaires

 
GN⁺ 2024-06-05
Commentaire Hacker News
  • Déplacement du commentaire : le commentaire a été déplacé vers un autre lien. La raison est qu’albinowax_ l’avait publié en premier, mais n’avait malheureusement pas obtenu de karma.
  • Mention de xrayarx : en espérant que xrayarx ne s’en formalise pas. Il est prévu de mettre en place une fonctionnalité de partage de karma pour ce type de cas.
  • Mesure temporaire : pour l’instant, une approche manuelle temporaire est utilisée.