​Cox Communications a corrigé une vulnérabilité de contournement d’autorisation qui permettait à des attaquants distants d’abuser des API backend exposées pour réinitialiser les paramètres de millions de modems fournis par Cox et voler les informations personnelles sensibles des clients.

Cox est la plus grande entreprise privée à large bande aux États-Unis, fournissant des services Internet, de télévision et de téléphonie sur des réseaux alimentés par fibre optique à près de sept millions de foyers et d’entreprises dans plus de 30 États.

Le chasseur de primes de bogues Sam Curry a découvert la faille de sécurité et a constaté qu’une exploitation réussie donnait aux acteurs de la menace un ensemble d’autorisations similaire à celui du support technique des FAI.

Les attaquants auraient pu utiliser cet accès pour exploiter l’un des millions d’appareils Cox accessibles via les API Cox vulnérables, en écrasant les paramètres de configuration et en exécutant des commandes sur l’appareil.

Par exemple, en exploitant cette vulnérabilité de contournement d’authentification, les acteurs malveillants peuvent rechercher un client Cox en utilisant son nom, son numéro de téléphone, son adresse e-mail ou son numéro de compte via les API exposées.

Ils peuvent ensuite voler leurs informations personnelles identifiables (PII), y compris les adresses MAC, les e-mails, les numéros de téléphone et les adresses.

Les attaquants peuvent également collecter les mots de passe Wi-Fi des appareils connectés et d’autres informations en interrogeant l’adresse MAC matérielle volée lors de l’étape d’attaque précédente. Par la suite, ils peuvent exécuter des commandes non autorisées, modifier les paramètres de l’appareil et prendre le contrôle des comptes de la victime.

« Cette série de vulnérabilités a démontré qu’un attaquant entièrement externe sans prérequis aurait pu exécuter des commandes et modifier les paramètres de millions de modems, accéder aux informations d’identification personnelle de tout client professionnel et obtenir essentiellement les mêmes autorisations d’une équipe de support FAI », Curry a dit.

« Il y avait plus de 700 API exposées, dont beaucoup offraient des fonctionnalités administratives (par exemple, interroger les périphériques connectés d’un modem). Chaque API souffrait des mêmes problèmes d’autorisation où la relecture répétée des requêtes HTTP permettait à un attaquant d’exécuter des commandes non autorisées. »

La société a supprimé les appels d’API exposés dans les six heures suivant le rapport de Curry le 3 mars et a corrigé la vulnérabilité le lendemain.

Dans le cadre d’un examen de sécurité de suivi, Cox a également cherché à savoir si ce vecteur d’attaque avait déjà été exploité avant d’être signalé, mais a déclaré qu’il n’avait trouvé aucune preuve de tentatives d’abus antérieures.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *