Các vấn đề bỏ qua ủy quyền hiện đã được vá ảnh hưởng đến modem Cox có thể đã bị lạm dụng làm điểm khởi đầu để truy cập trái phép vào các thiết bị và chạy các lệnh độc hại.
Sau khi tiết lộ có trách nhiệm vào ngày 4 tháng 3 năm 2024, các vấn đề bỏ qua ủy quyền đã được nhà cung cấp băng thông rộng Hoa Kỳ giải quyết trong vòng 24 giờ. Không có bằng chứng cho thấy những thiếu sót này đã được khai thác trong tự nhiên.
"Tôi thực sự ngạc nhiên bởi quyền truy cập dường như không giới hạn mà các ISP có đằng sau hậu trường đối với các thiết bị của khách hàng", Curry nói với The Hacker VN qua email.
"Thật hợp lý khi nhìn lại rằng một ISP sẽ có thể quản lý từ xa các thiết bị này, nhưng có toàn bộ cơ sở hạ tầng nội bộ được xây dựng bởi các công ty như Xfinity kết nối các thiết bị tiêu dùng với các API tiếp xúc bên ngoài. Nếu kẻ tấn công tìm thấy lỗ hổng trong các hệ thống này, chúng có khả năng xâm phạm hàng trăm triệu thiết bị".
Curry và cộng sự trước đây đã tiết lộ một số lỗ hổng ảnh hưởng đến hàng triệu xe từ 16 nhà sản xuất khác nhau có thể bị khai thác để mở khóa, khởi động và theo dõi ô tô. Nghiên cứu tiếp theo cũng phát hiện ra các lỗ hổng bảo mật trong points.com có thể được kẻ tấn công sử dụng để truy cập thông tin khách hàng và thậm chí có được quyền phát hành, quản lý và chuyển điểm thưởng.
Điểm khởi đầu của nghiên cứu mới nhất quay trở lại thực tế là các nhân viên hỗ trợ Cox có khả năng điều khiển và cập nhật thiết bị từ xa, chẳng hạn như thay đổi mật khẩu Wi-Fi và xem các thiết bị được kết nối, sử dụng giao thức TR-069.
Phân tích của Curry về cơ chế cơ bản đã xác định khoảng 700 điểm cuối API bị lộ, một số trong đó có thể bị khai thác để đạt được chức năng quản trị và chạy các lệnh trái phép bằng cách vũ khí hóa các vấn đề về quyền và phát lại các yêu cầu HTTP nhiều lần.
Điều này bao gồm điểm cuối "profilesearch" có thể bị khai thác để tìm kiếm khách hàng và truy xuất chi tiết tài khoản doanh nghiệp của họ chỉ bằng tên của họ bằng cách phát lại yêu cầu một vài lần, tìm nạp địa chỉ MAC của phần cứng được kết nối trên tài khoản của họ và thậm chí truy cập và sửa đổi tài khoản khách hàng doanh nghiệp.
Thậm chí đáng lo ngại hơn, nghiên cứu cho thấy có thể ghi đè lên cài đặt thiết bị của khách hàng giả sử họ sở hữu bí mật mật mã cần thiết khi xử lý các yêu cầu sửa đổi phần cứng, sử dụng nó để cuối cùng đặt lại và khởi động lại thiết bị.
Trong một kịch bản tấn công giả định, một tác nhân đe dọa có thể đã lạm dụng các API này để tìm kiếm khách hàng của Cox, lấy chi tiết tài khoản đầy đủ của họ, truy vấn địa chỉ MAC phần cứng của họ để lấy mật khẩu Wi-Fi và các thiết bị được kết nối và chạy các lệnh tùy ý để chiếm đoạt tài khoản.