Cox

コックス・コミュニケーションズは、リモートの攻撃者が公開されたバックエンドAPIを悪用して数百万台のコックス製モデムの設定をリセットし、顧客の機密個人情報を盗むことを可能にする認証バイパス脆弱性を修正した。

Coxは米国最大の民間ブロードバンド企業で、30以上の州にわたって約700万の家庭や企業に光ファイバーネットワークを介したインターネット、テレビ、電話サービスを提供している。

バグ賞金稼ぎのサム・カリーがこのセキュリティ欠陥を発見し、悪用に成功すると、脅威行為者にISPの技術サポートと同様の権限セットが与えられることを発見した。

攻撃者はこのアクセス権を利用して、脆弱なCox APIを通じてアクセス可能な数百万のCoxデバイスのいずれかを悪用し、コンフィギュレーション設定を上書きしてデバイス上でコマンドを実行することができた。

例えば、この認証バイパスの脆弱性を悪用することで、悪意のある行為者は、公開されたAPIを介して、名前、電話番号、電子メールアドレス、口座番号を使ってCoxの顧客を探すことができる。

そして、MACアドレス、電子メール、電話番号、住所などの個人を特定できる情報(PII)を盗むことができる。

攻撃者はまた、前の攻撃段階で盗んだハードウェアのMACアドレスを照会することで、接続されたデバイスのWi-Fiパスワードやその他の情報を収集することができる。その後、不正なコマンドを実行し、デバイスの設定を変更し、被害者のアカウントを制御することができる。

「この一連の脆弱性は、何の前提条件もない完全な外部攻撃者がコマンドを実行し、何百万台ものモデムの設定を変更し、あらゆる企業顧客のPIIにアクセスし、ISPのサポートチームと本質的に同じ権限を得ることができる方法を実証した」とカリー氏

「700以上のAPIが公開されており、その多くが管理機能(モデムの接続デバイスの照会など)を提供していた。各APIは、HTTPリクエストを繰り返し再生することで、攻撃者が不正なコマンドを実行できるようになるという、同じパーミッションの問題に悩まされていました。

同社は、3月3日のCurry氏の報告から6時間以内に暴露されたAPIコールを削除し、翌日には脆弱性のパッチを適用した。

コックス社は、フォローアップ・セキュリティ・レビューの一環として、この攻撃ベクトルが報告される前に悪用されたことがあるかどうかも調査したが、過去に悪用が試みられた形跡はなかったという。