Meretas Jutaan Modem dan Menyelidiki Orang yang Meretas Modem Saya

Meretas jutaan modem (dan menyelidiki orang yang meretas modem saya)

Pengantar

• Dua tahun lalu, saat mengeksploitasi kerentanan XXE di jaringan rumah, terjadi sesuatu yang aneh.
• Menggunakan box AWS untuk menjalankan server web Python dan menerima permintaan HTTP dari luar.
• Beberapa detik kemudian, alamat IP yang tidak dikenal mengirim ulang permintaan HTTP yang sama.

159.65.76.209, siapa kamu?

• Hasil penyelidikan alamat IP menunjukkan bahwa alamat itu dimiliki oleh DigitalOcean.
• Alamat IP ini sebelumnya pernah digunakan untuk situs phishing dan server email.
• Terkait dengan kampanye phishing yang menargetkan perusahaan keamanan siber Amerika Selatan bernama ISG Latam.

Peretas meretas peretas?

• Alamat IP tersebut tampaknya telah digunakan untuk berbagai aktivitas berbahaya selama 3 tahun.
• Beragam serangan seperti situs phishing dan peretasan modem berasal dari IP yang sama.
• Ada kemungkinan alamat IP itu berpindah-pindah di antara beberapa pemilik.

Menyerahkan bukti

• Mengembalikan modem gateway Cox Panoramic Wifi yang diduga telah diretas ke ISP dan menerima modem baru.
• Setelah memasang modem baru, penerusan ulang trafik abnormal sebelumnya pun hilang.

Tiga tahun kemudian

• Saat berbincang dengan teman-teman, diputuskan untuk menyelidiki kembali insiden lama itu.
• Ada kemungkinan operator malware berusaha menyembunyikan server C&C menggunakan domain generation algorithm.

Menargetkan REST API menggunakan protokol TR-069

• Saat mengonfigurasi modem Cox, diketahui bahwa agen dukungan ISP dapat mengelola perangkat dari jarak jauh melalui protokol TR-069.
• Protokol ini diimplementasikan pada 2004 agar ISP dapat mengelola perangkat di dalam jaringan.

Meretas jutaan modem

• Dengan menganalisis API portal Cox Business, dikonfirmasi adanya fungsi pengelolaan perangkat.
• Dikonfirmasi bahwa fitur terkait perangkat disediakan melalui path API.

Memuat resource statis dari reverse proxy API

• Dengan Burp Intruder, resource statis dapat dimuat dengan menambahkan %2f di akhir URL.
• Dokumentasi Swagger menunjukkan lebih dari 700 pemanggilan API.

Menemukan bypass otorisasi di backend API Cox

• Otorisasi dapat dilewati dengan mengirim ulang permintaan API beberapa kali.
• Melalui API pencarian pelanggan, profil pelanggan bisnis Cox dapat dicari.

Memastikan dapat mengakses perangkat siapa pun

• Alamat IP modem dapat dicari menggunakan alamat MAC.
• Melalui API, alamat MAC perangkat yang terhubung ke akun pelanggan dapat dicari.

Mengakses dan memperbarui akun pelanggan bisnis Cox

• Akun pelanggan dapat dicari dan diubah melalui email.
• Melalui API, PII akun pelanggan dapat dicari dan perintah dapat dijalankan melalui alamat MAC perangkat.

Menimpa konfigurasi perangkat siapa pun melalui rahasia terenkripsi

• Ditemukan cara untuk membuat parameter encryptedValue yang diperlukan untuk permintaan modifikasi perangkat.

Opini GN⁺

• Pentingnya keamanan: Artikel ini menunjukkan betapa serius dampak kerentanan keamanan pada peralatan jaringan. Terutama, keamanan perangkat yang disediakan ISP sangat penting.
• Keamanan API: Jika API tidak dilindungi dengan benar, penyerang dapat dengan mudah mengakses sistem. Penguatan keamanan API diperlukan.
• Perlindungan data pelanggan: Ada risiko PII pelanggan terekspos dengan mudah. Diperlukan langkah keamanan tambahan untuk melindungi data.
• Pengungkapan kerentanan: Saat menemukan kerentanan, proses mengungkapkan dan memperbaikinya itu penting. Ini membantu meningkatkan tingkat keamanan secara keseluruhan.
• Perkembangan teknologi: Seiring diperkenalkannya teknologi baru, ancaman keamanan juga meningkat. Diperlukan edukasi keamanan berkelanjutan dan penerapan teknologi keamanan terbaru.