Un informe publicado hoy destaca cómo un atacante externo podría haber ejecutado comandos y modificado la configuración de millones de módems, accediendo a la información personal de los clientes de Cox y obteniendo los mismos permisos que un equipo de soporte de ISP. Después de una divulgación responsable el 4 de marzo de 2024, los problemas de omisión de autorización fueron abordados por Cox en 24 horas, sin evidencia de explotación en la naturaleza.
El investigador de seguridad Sam Curry mencionó que los ISP tenían acceso ilimitado a los dispositivos de los clientes, lo que les permitía gestionarlos remotamente. Sin embargo, esta infraestructura construida por empresas como Xfinity expone dispositivos de consumidores a API externas, lo que podría comprometer cientos de millones de dispositivos si se encuentran vulnerabilidades en estos sistemas.
La investigación comenzó debido a la capacidad de los agentes de soporte de Cox para controlar y actualizar remotamente la configuración del dispositivo utilizando el protocolo TR-069. Curry identificó alrededor de 700 puntos de acceso de API expuestos, algunos de los cuales podrían ser explotados para obtener funcionalidad administrativa y ejecutar comandos no autorizados al weaponizar los problemas de permisos y repetir las solicitudes HTTP.
Se encontró que es posible sobrescribir la configuración del dispositivo de un cliente asumiendo que poseen un secreto criptográfico, lo que podría permitir a un atacante restablecer y reiniciar el dispositivo. En un escenario de ataque hipotético, un actor malintencionado podría haber abusado de estas API para obtener los detalles de cuenta de un cliente, contraseñas de Wi-Fi y dispositivos conectados, y ejecutar comandos arbitrarios para hacerse cargo de las cuentas.
Vía The Hacker News
