Isang customer ng Cox Communications, ang pangatlong pinakamalaking cable television provider sa United States at isa sa pinakamalaking broadband operator na may 6.5 milyong subscriber, ang nag-publish ng mga resulta ng mga eksperimento sa panloob na Web API ng provider, na naa-access sa mga panlabas na kahilingan at ginagamit, bukod sa iba pang mga bagay. , para sa access sa help desk sa mga subscriber modem at user base. Ito ay lumabas na alam lamang ang MAC address ng aparato ng subscriber, maaari kang makakuha ng ganap na kontrol sa modem, na nagpapahintulot sa iyo na baguhin ang mga setting at isagawa ang anumang mga utos sa modem. Sa pangkalahatan, ang sinumang umaatake ay maaaring makakuha ng access sa modem, katulad ng pag-access sa engineering na nakukuha ng help desk ng carrier.
Kapansin-pansin na ang MAC address ng device ng subscriber ay matatagpuan sa pamamagitan ng pag-access sa pampublikong Web API nang walang pagpapatunay, gamit ang function ng paghahanap ng subscriber, halimbawa, sa pamamagitan ng pagpili ng email o account number (sa pamamagitan ng paghahanap sa mga numero, maaari mong sunud-sunod na i-download datos ng mga kliente). Bilang karagdagan sa MAC address, ang iba pang impormasyon tungkol sa subscriber ay ipinapakita, kabilang ang address, numero ng telepono, buong pangalan at email. Ang lahat ng impormasyon ay magagamit para sa mga kahilingan mula sa panlabas na network nang walang pagpapatunay. Sa kasong ito, ang impormasyon ay hindi lamang maaaring makuha, ngunit mababago din. Sa kabuuan, ang API na naa-access ng publiko ay may higit sa 700 mga tagapangasiwa, na marami sa mga ito ay nagpapatupad ng mga operasyon ng pangangasiwa.
Ginamit ang isang naka-encrypt na parameter upang i-verify ang pagpapadala ng mga command at setting sa mga modem ng user, ngunit ang mga function ng pag-encrypt ay natagpuan sa isa sa mga script ng JavaScript na ibinigay ng webcdn-business.cox.com. Natukoy ang encryption key sa pamamagitan ng pagtatakda ng breakpoint sa mga function na ito sa JavaScript debugger ng browser sa panahon ng pagpaparehistro sa website myaccount-business.cox.com. Nabuo ang encryption key gamit ang MAC address, device ID at user account number, pati na rin ang ilang pantulong na parameter, gaya ng modelo ng device at uri ng pag-access.
Ang senaryo ng pag-atake ay nagmumula sa paghahanap ng biktima sa pamamagitan ng pampublikong Web API, gamit ang isang kahilingan ayon sa pangalan, numero ng telepono, email o numero ng account. Susunod, ina-access ng attacker ang Web API upang i-download ang buong set ng personal na data ng subscriber, gamit ang UUID na nakuha sa paghahanap sa unang yugto. Gamit ang MAC address ng modem, na tinukoy sa data ng subscriber, maaaring tingnan ng attacker ang listahan ng mga device na nakakonekta sa modem, baguhin ang anumang parameter sa modem, hilingin ang password na ginamit upang kumonekta sa Wi-Fi, at isagawa ang anumang mga command sa device na maaaring ilapat, halimbawa, upang ayusin ang pagsusuri o pag-redirect ng trapiko ng user.
Pinagmulan: opennet.ru
