Un informe reciente destaca que se han solucionado una serie de vulnerabilidades que podrían haber sido explotadas para acceder sin autorización a los módems de Cox y para ejecutar comandos maliciosos.
El proveedor de banda ancha Cox solucionó con prontitud las vulnerabilidades de bypass de autorización tras una notificación responsable el 4 de marzo de 2024. Aparentemente, estas fallas no han sido explotadas en la práctica.
El investigador de seguridad Sam Curry expresó sorpresa por el acceso casi total que tenían los ISP a los dispositivos de los clientes. Advirtió sobre el riesgo potencial para cientos de millones de dispositivos si se explotaran vulnerabilidades en estos sistemas.
Además, se han identificado vulnerabilidades relacionadas con points.com que podrían haber sido aprovechadas para acceder a información del cliente y obtener permisos para gestionar puntos de recompensa.
El análisis de las vulnerabilidades reveló que los agentes de soporte de Cox podían controlar y actualizar la configuración de los dispositivos a través del protocolo TR-069. Se identificaron alrededor de 700 puntos de acceso API expuestos que podrían haber sido explotados para obtener control administrativo y ejecutar comandos no autorizados.
También se destacó la posibilidad de sobrescribir la configuración de los dispositivos de un cliente si se poseía un secreto criptográfico necesario para reiniciar el dispositivo. Esto habría permitido a un atacante acceder, modificar y ejecutar comandos en el dispositivo.
En un hipotético escenario de ataque, un actor malintencionado podría haber utilizado estas API para obtener información del cliente, como contraseñas Wi-Fi y dispositivos conectados, y para ejecutar comandos arbitrarios con el objetivo de apoderarse de las cuentas.
Sam Curry atribuyó esta problemática a las complejidades de gestionar dispositivos de clientes, como enrutadores y módems. Destacó la necesidad de establecer mecanismos de autorización más sólidos para evitar que un solo protocolo interno tenga acceso a tantos dispositivos.
Vía The Hacker News
