แฮ็กโมเด็มหลายล้านเครื่อง และสืบหาคนที่แฮ็กโมเด็มของฉัน

 (samcurry.net)
3 คะแนน โดย GN⁺ 2024-06-05 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

แฮ็กโมเด็มหลายล้านเครื่อง (และสืบหาคนที่แฮ็กโมเด็มของฉัน)

บทนำ

  • เมื่อ 2 ปีก่อน ระหว่างกำลังใช้ประโยชน์จากช่องโหว่ XXE ในเครือข่ายที่บ้าน ก็เกิดเรื่องผิดปกติขึ้น
  • ใช้เครื่องบน AWS เพื่อรัน Python เว็บเซิร์ฟเวอร์และรับคำขอ HTTP จากภายนอก
  • ไม่กี่วินาทีต่อมา IP address ที่ไม่ทราบที่มาก็ส่งคำขอ HTTP เดียวกันนั้นซ้ำอีกครั้ง

159.65.76.209, คุณคือใคร?

  • เมื่อตรวจสอบ IP address ก็พบว่าเป็นของ DigitalOcean
  • IP address นี้เคยถูกใช้เป็นเว็บไซต์ฟิชชิงและเมลเซิร์ฟเวอร์มาก่อน
  • มีความเกี่ยวข้องกับแคมเปญฟิชชิงที่มุ่งเป้าไปยัง ISG Latam ซึ่งเป็นบริษัทรักษาความปลอดภัยไซเบอร์ในอเมริกาใต้

แฮ็กเกอร์แฮ็กแฮ็กเกอร์?

  • ดูเหมือนว่า IP address นี้จะถูกใช้ในกิจกรรมอันตรายหลายอย่างตลอด 3 ปี
  • การโจมตีหลากหลายรูปแบบ เช่น เว็บไซต์ฟิชชิงและการแฮ็กโมเด็ม เกิดขึ้นจาก IP เดียวกัน
  • นอกจากนี้ก็เป็นไปได้ว่า IP address นี้อาจถูกหมุนเวียนระหว่างเจ้าของหลายราย

การส่งมอบหลักฐาน

  • นำโมเด็มเกตเวย์ Cox Panoramic Wifi ที่สงสัยว่าถูกแฮ็กไปคืนให้ ISP และได้รับโมเด็มใหม่
  • หลังติดตั้งโมเด็มใหม่ ทราฟฟิกส่งซ้ำที่ผิดปกติก่อนหน้านี้ก็หายไป

3 ปีต่อมา

  • ระหว่างคุยกับเพื่อน ๆ ก็ตัดสินใจกลับไปสืบสวนเหตุการณ์ในอดีตอีกครั้ง
  • เป็นไปได้ว่าผู้ควบคุมมัลแวร์พยายามซ่อนเซิร์ฟเวอร์ C&C โดยใช้อัลกอริทึมสร้างโดเมน

การโจมตี REST API ผ่านโปรโตคอล TR-069

  • ระหว่างตั้งค่าโมเด็มของ Cox ได้ทราบว่าเอเจนต์ซัพพอร์ตของ ISP สามารถจัดการอุปกรณ์จากระยะไกลผ่านโปรโตคอล TR-069
  • โปรโตคอลนี้ถูกนำมาใช้ตั้งแต่ปี 2004 เพื่อให้ ISP สามารถจัดการอุปกรณ์ภายในเครือข่ายได้

แฮ็กโมเด็มหลายล้านเครื่อง

  • วิเคราะห์ API ของพอร์ทัล Cox Business และยืนยันได้ว่ามีความสามารถด้านการจัดการอุปกรณ์
  • ยืนยันว่ามีการให้ฟังก์ชันที่เกี่ยวข้องกับอุปกรณ์ผ่านเส้นทาง API

โหลดทรัพยากรแบบคงที่จาก reverse proxy API

  • ใช้ Burp Intruder โดยเพิ่ม %2f ที่ท้าย URL เพื่อโหลดทรัพยากรแบบคงที่ได้
  • พบการเรียก API มากกว่า 700 รายการในเอกสาร Swagger

พบการข้ามสิทธิ์บน Cox backend API

  • สามารถข้ามสิทธิ์ได้ด้วยการส่งคำขอ API ซ้ำหลายครั้ง
  • สามารถค้นหาโปรไฟล์ของลูกค้า Cox Business ได้ผ่าน customer search API

ยืนยันว่าจึงเข้าถึงอุปกรณ์ของใครก็ได้

  • สามารถค้นหา IP address ของโมเด็มได้โดยใช้ MAC address
  • สามารถค้นหา MAC address ของอุปกรณ์ที่เชื่อมกับบัญชีลูกค้าได้ผ่าน API

เข้าถึงและอัปเดตบัญชีลูกค้า Cox Business

  • สามารถค้นหาและแก้ไขบัญชีลูกค้าได้ผ่านอีเมล
  • สามารถค้นหา PII ของบัญชีลูกค้าและสั่งงานผ่าน MAC address ของอุปกรณ์ได้ผ่าน API

เขียนทับการตั้งค่าอุปกรณ์ของใครก็ได้ผ่านความลับที่เข้ารหัส

  • พบวิธีสร้างพารามิเตอร์ encryptedValue ที่จำเป็นสำหรับคำขอแก้ไขอุปกรณ์

ความเห็นของ GN⁺

  • ความสำคัญของความปลอดภัย: บทความนี้แสดงให้เห็นว่าช่องโหว่ด้านความปลอดภัยของอุปกรณ์เครือข่ายสามารถสร้างผลกระทบร้ายแรงได้มากเพียงใด โดยเฉพาะความปลอดภัยของอุปกรณ์ที่ ISP จัดหาให้ซึ่งมีความสำคัญอย่างยิ่ง
  • ความปลอดภัยของ API: หาก API ไม่ได้รับการปกป้องอย่างเหมาะสม ผู้โจมตีก็สามารถเข้าถึงระบบได้ง่าย จึงจำเป็นต้องเสริมความปลอดภัยของ API
  • การคุ้มครองข้อมูลลูกค้า: มีความเสี่ยงที่ PII ของลูกค้าจะถูกเปิดเผยได้โดยง่าย จึงจำเป็นต้องมีมาตรการรักษาความปลอดภัยเพิ่มเติมเพื่อปกป้องข้อมูล
  • การเปิดเผยช่องโหว่: เมื่อค้นพบช่องโหว่ กระบวนการเปิดเผยและแก้ไขเป็นสิ่งสำคัญ และช่วยยกระดับความปลอดภัยโดยรวม
  • ความก้าวหน้าทางเทคโนโลยี: เมื่อมีการนำเทคโนโลยีใหม่มาใช้ ภัยคุกคามด้านความปลอดภัยก็เพิ่มขึ้นตามไปด้วย จึงจำเป็นต้องมีการให้ความรู้ด้านความปลอดภัยอย่างต่อเนื่องและนำเทคโนโลยีความปลอดภัยสมัยใหม่มาใช้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-06-05
ความเห็นจาก Hacker News
  • การย้ายความคิดเห็น: ความคิดเห็นถูกย้ายไปยังลิงก์อื่น เหตุผลคือ albinowax_ เป็นคนโพสต์คนแรก แต่เป็นเรื่องน่าเสียดายที่ไม่ได้ karma
  • กล่าวถึง xrayarx: หวังว่า xrayarx จะไม่รู้สึกไม่สบายใจ มีแผนจะทำฟีเจอร์แบ่งปัน karma สำหรับกรณีแบบนี้
  • มาตรการชั่วคราว: ตอนนี้กำลังใช้วิธีแบบแมนนวลเป็นการชั่วคราว