En kunde hos Cox Communications, den tredje største kabel-tv-leverandøren i USA og en av de største bredbåndsoperatørene med 6.5 millioner abonnenter, publiserte resultatene av eksperimenter med leverandørens interne Web API, tilgjengelig for eksterne forespørsler og brukte bl.a. , for brukerstøttetilgang til abonnentmodemer og brukerbase. Det viste seg at hvis du bare kjenner MAC-adressen til abonnentenheten, kan du få full kontroll over modemet, slik at du kan endre innstillinger og utføre kommandoer på modemet. I hovedsak kan enhver angriper få tilgang til modemet, på lik linje med ingeniørtilgangen som en operatørs helpdesk får.
Det er bemerkelsesverdig at MAC-adressen til abonnentenheten kan bli funnet ved å få tilgang til den offentlige Web API uten autentisering, ved å bruke abonnentsøkefunksjonen, for eksempel ved å velge en e-post eller et kontonummer (ved å søke gjennom numrene kan du laste ned sekvensielt kunde Data). I tillegg til MAC-adressen vises annen informasjon om abonnenten, inkludert adresse, telefonnummer, fullt navn og e-post. All informasjon er tilgjengelig for forespørsler fra det eksterne nettverket uten autentisering. I dette tilfellet kan informasjon ikke bare innhentes, men også endres. Totalt har den offentlig tilgjengelige API-en mer enn 700 behandlere, hvorav mange implementerer administrasjonsoperasjoner.
En kryptert parameter ble brukt for å bekrefte overføringen av kommandoer og innstillinger til brukernes modemer, men krypteringsfunksjonene ble funnet i et av JavaScript-skriptene levert av webcdn-business.cox.com. Krypteringsnøkkelen ble bestemt ved å sette et bruddpunkt på disse funksjonene i nettleserens JavaScript-debugger under registrering på nettstedet myaccount-business.cox.com. Krypteringsnøkkelen ble generert ved hjelp av MAC-adressen, enhets-ID og brukerkontonummer, samt flere tilleggsparametere, for eksempel enhetsmodell og tilgangstype.
Angrepsscenarioet koker ned til å søke etter et offer gjennom en offentlig web-API, ved å bruke en forespørsel etter navn, telefonnummer, e-post eller kontonummer. Deretter får angriperen tilgang til Web API for å laste ned hele settet med personlige data til abonnenten, ved å bruke UUID som ble oppnådd under søket i det første trinnet. Ved å bruke modemets MAC-adresse, spesifisert blant abonnentdataene, kan en angriper se listen over enheter som er koblet til modemet, endre alle parametere på modemet, be om passordet som brukes for å koble til Wi-Fi og utføre alle kommandoer på enheten som kan brukes, for eksempel, for å organisere analyse eller omdirigering av brukertrafikk.
Kilde: opennet.ru
