Hoy se publicó un informe revelando múltiples vulnerabilidades en los módems de Cox que permitían a un atacante ejecutar comandos y modificar la configuración de millones de dispositivos. Esto otorgaba acceso a información personal de clientes empresariales y los mismos permisos que el equipo de soporte de un ISP.
Cox solucionó las deficiencias de autorización en 24 horas después de ser informados el 4 de marzo de 2024, sin evidencia de explotación.
Curry expresó su sorpresa por el acceso ilimitado que los proveedores de servicios de Internet tenían a los dispositivos de los clientes.
Además, Curry y sus colegas habían revelado vulnerabilidades en vehículos de 16 fabricantes y en points.com anteriormente.
La investigación reveló que agentes de soporte de Cox podían controlar y actualizar dispositivos de clientes de forma remota a través del protocolo TR-069. Curry identificó alrededor de 700 puntos finales de API expuestos, algunos de los cuales podrían ser explotados para comandos no autorizados.
La investigación encontró que era posible sobrescribir la configuración del dispositivo de un cliente, demostrando posibles escenarios de ataque. Curry destacó la complejidad en la gestión de dispositivos del cliente como routers y módems como raíz del problema.
Las acciones de Cox para solucionar las vulnerabilidades deben considerar el desarrollo de un mecanismo de autorización más seguro y menos dependiente de un protocolo único para el acceso a tantos dispositivos.
Vía The Hacker News
