数百万台のモデムをハッキング(そして私のモデムをハッキングした人物を調査する)
はじめに
- 2年前、自宅ネットワークでXXE脆弱性を悪用していた際に奇妙な出来事が起きた。
- AWSボックスを使ってPython Webサーバーを実行し、外部HTTPリクエストを受信していた。
- 数秒後、正体不明のIPアドレスが同じHTTPリクエストを再送した。
159.65.76.209、あなたは誰だ?
- IPアドレスを調査した結果、DigitalOceanの所有であることが確認された。
- このIPアドレスは過去にフィッシングWebサイトとメールサーバーとして使われたことがある。
- ISG Latamという南米のサイバーセキュリティ企業を標的にしたフィッシングキャンペーンと関連している。
ハッカーがハッカーをハッキング?
- IPアドレスは3年間にわたり、複数の悪意ある活動に使われていたようだ。
- フィッシングサイト、モデムハッキングなど、さまざまな攻撃が同じIPから発生していた。
- このIPアドレスが複数の所有者の間を渡り歩いていた可能性もある。
証拠提出
- ハッキングされた疑いのあるCox Panoramic WifiゲートウェイモデムをISPに返却し、新しいモデムを受け取った。
- 新しいモデムを設置した後、以前の異常なトラフィック再送は消えた。
3年後
- 友人たちとの会話の中で、過去の事件を再調査することに決めた。
- マルウェア運用者がドメイン生成アルゴリズムを使ってC&Cサーバーを隠そうとした可能性がある。
TR-069プロトコルを使用したREST APIターゲティング
- Coxモデムの設定中に、ISPのサポートエージェントがTR-069プロトコルを通じてデバイスをリモート管理できることを知った。
- このプロトコルは2004年に実装され、ISPがネットワーク内のデバイスを管理できるようにするものだ。
数百万台のモデムをハッキング
- Cox BusinessポータルのAPIを分析し、デバイス管理機能を確認した。
- APIパスを通じてデバイス関連機能が提供されていることを確認した。
リバースプロキシAPIで静的リソースをロード
- Burp Intruderを使ってURLの末尾に%2fを追加することで、静的リソースを読み込めた。
- Swaggerドキュメントで700件以上のAPIコールを確認した。
CoxバックエンドAPIで権限回避を発見
- APIリクエストを何度も再送することで、権限を回避できた。
- 顧客検索APIを通じて、Coxの法人顧客のプロフィールを検索できた。
誰の機器でもアクセス可能であることを確認
- MACアドレスを使ってモデムのIPアドレスを検索できた。
- APIを通じて、顧客アカウントに紐づいた機器のMACアドレスを検索できた。
Cox法人顧客アカウントへのアクセスと更新
- メールアドレスを通じて顧客アカウントを検索し、修正できた。
- APIを通じて顧客アカウントのPIIを検索し、機器のMACアドレス経由でコマンドを実行できた。
暗号化された秘密情報を通じて誰の機器設定でも上書き
- 機器の変更リクエストに必要な
encryptedValueパラメータを生成する方法を見つけた。
GN⁺の意見
- セキュリティの重要性: この記事は、ネットワーク機器のセキュリティ脆弱性がどれほど深刻な影響を及ぼし得るかを示している。特に、ISPが提供する機器のセキュリティは非常に重要だ。
- APIセキュリティ: APIが適切に保護されていなければ、攻撃者は容易にシステムへアクセスできる。APIセキュリティの強化が必要だ。
- 顧客データ保護: 顧客のPIIが容易に露出する危険がある。データ保護のための追加的なセキュリティ対策が必要だ。
- 脆弱性公開: 脆弱性を発見したとき、それを公開し解決する過程は重要だ。これは全体的なセキュリティ水準を高めることに寄与する。
- 技術の進歩: 新しい技術の導入とともにセキュリティ脅威も増大する。継続的なセキュリティ教育と最新のセキュリティ技術の導入が必要だ。
1件のコメント
Hacker Newsの意見