Investigador descubre fallas en los módems de Cox, con un impacto potencial en millones de usuarios

Tras una divulgación responsable el 4 de marzo de 2024, un proveedor de banda ancha en EE. UU. resolvió los problemas de autorización en 24 horas. No hay evidencia de que estas deficiencias hayan sido explotadas en la práctica. Según el investigador de seguridad Sam Curry, estas vulnerabilidades podrían haber sido utilizadas como punto de inicio para acceder sin autorización a los dispositivos y ejecutar comandos maliciosos.

Curry comentó que le sorprendió el acceso aparentemente ilimitado que tenían los ISP a los dispositivos de los clientes y señaló que un atacante podría comprometer potencialmente cientos de millones de dispositivos si encontrara vulnerabilidades en estos sistemas.

En investigaciones previas, Curry y otros revelaron vulnerabilidades que afectaban a millones de vehículos de 16 fabricantes diferentes. También se descubrieron fallos en points.com que podrían haber sido utilizados por un atacante para obtener información de clientes y permisos para emitir y transferir puntos de recompensa.

El estudio sobre módems Cox revela que los agentes de soporte de Cox pueden controlar y actualizar de forma remota la configuración del dispositivo. El análisis de Curry identificó alrededor de 700 puntos finales de API expuestos, algunos de los cuales podrían ser explotados para obtener funcionalidad administrativa y ejecutar comandos no autorizados.

Entre las vulnerabilidades encontradas se incluye un punto final «profilesearch» que podría ser explotado para buscar un cliente y obtener los detalles de su cuenta empresarial con solo su nombre. También se descubrió que era posible sobrescribir la configuración del dispositivo de un cliente asumiendo que se poseía un secreto criptográfico necesario para manejar solicitudes de modificación de hardware.

Según Curry, resolver esta problemática es compleja debido a la necesidad de construir una API REST que pueda comunicarse con cientos de modelos de módems y routers diferentes.

Vía The Hacker News