लाखों मॉडेम हैक करना और मेरे मॉडेम को हैक करने वाले की जांच

• 2 साल पहले घर पर vulnerability testing करते समय मुझे एक अजीब घटना का सामना हुआ
• मैंने AWS box पर एक HTTP server चलाया ताकि किसी vulnerable server से फ़ाइल लाई जा सके
• सब कुछ सही तरह से configured लग रहा था, लेकिन जैसे ही मैं vulnerability test पर वापस जाने वाला था, एक अनपेक्षित log दिखाई दिया
• किसी ने home network और AWS box के बीच 10 सेकंड बाद वही HTTP request intercept करके फिर से भेजी
• इस traffic तक पहुंचना संभव नहीं होना चाहिए था और बीच में कोई intermediary नहीं होना चाहिए था
• मेरा पहला विचार यह था कि मेरा computer hack हो गया है और कोई hacker traffic को actively monitor कर रहा है
• मैंने iPhone पर भी यही व्यवहार दोहराया या नहीं, यह जांचा, और एक अज्ञात IP address ने computer और iPhone दोनों की HTTP requests intercept करके फिर से भेजीं
• सबसे संभावित बात यह लग रही थी कि ISP, modem, या AWS में से कोई एक compromise हुआ है
• AWS के hack होने जैसी अविश्वसनीय संभावना को हटाने के लिए मैंने GCP पर भी box चालू किया, और वही घटना फिर हुई
• अब एकमात्र संभावना यही बची कि modem hack हुआ था, लेकिन हमलावर कौन था? IP address के मालिक को lookup करने पर पता चला कि वह DigitalOcean का था
• पिछले कुछ वर्षों में उस IP का उपयोग कई phishing sites और mail servers के लिए हुआ था
• compromised device अभी भी चालू था, इसलिए मैंने उसका power unplug किया और उसे एक डिब्बे में रख दिया
• मैं Cox store गया, hacked modem लौटाया और नया ले आया
• नया modem लगाने के बाद असामान्य व्यवहार रुक गया, लेकिन यह स्पष्ट नहीं हुआ कि modem से compromise ठीक कैसे हुआ था
• 3 साल बाद security researcher दोस्तों के साथ छुट्टी पर इस घटना की बात हुई, और उनकी दिलचस्पी के बाद जांच शुरू हुई
• उस IP address द्वारा register किए गए domains देखने पर बड़ी संख्या में algorithmically generated domains मिले। यह एक C&C server होने का संकेत था
• हमलावर ने उसी IP से कई malicious activities चलाई थीं, लेकिन 3 साल तक उसे बंद नहीं किया गया। उसका उद्देश्य समझना मुश्किल था
• नया modem भी वही model था, इसलिए यह संभावना भी देखी गई कि हमलावर ने उसमें फिर से घुसपैठ की हो
• ध्यान गया कि ISP, TR-069 protocol के जरिए devices manage कर सकता है। अगर support tool infrastructure पर हमला हो जाए, तो modem पर नियंत्रण पाया जा सकता है
• Cox business portal के JavaScript का analysis करने पर 700 से अधिक API paths मिले। उनमें equipment और customer account access से सबसे अधिक जुड़े APIs accountequipment, datainternetgateway, account थे
• एक authentication bypass vulnerability मिली। HTTP requests को बार-बार भेजने पर बिना अनुमति command execute की जा सकती थी
• यह भी पुष्टि हुई कि MAC address के जरिए किसी भी व्यक्ति के equipment से सीधे communicate किया जा सकता है। Cox लाखों customers को service देता है
• यह साबित किया गया कि equipment settings overwrite करना, router तक पहुंचना, और device पर commands चलाना संभव है — यानी ISP technical support team जैसी permissions मिल सकती हैं
• यह ऐसी vulnerability थी, जिसमें बिना किसी precondition के लाखों modems की settings बदली जा सकती थीं, customer PII तक पहुंचा जा सकता था, और ISP support team-स्तर की privileges ली जा सकती थीं
• incident scenario इस प्रकार था
  1. API के जरिए Cox business customers को search करना
  2. UUID के जरिए equipment MAC address, email, phone number, address जैसी customer PII प्राप्त करना
  3. MAC address से WiFi password और connected devices देखना
  4. arbitrary commands execute करना, equipment properties बदलना, account takeover करना
• vulnerability की सूचना Cox को दी गई, और 6 घंटे के भीतर API block कर दिया गया तथा authentication issue को ठीक करना शुरू कर दिया गया
• 700 से अधिक exposed APIs में से काफ़ी APIs admin functions देती थीं, और सभी में वही permissions problem थी
• यह मामला ISP और customer equipment के बीच trust layer की कमजोरी दिखाता है
• मेरा modem ठीक किस तरह hack हुआ था, यह अभी भी मेरे लिए जिज्ञासा का विषय है। हमलावर ने traffic को दोबारा क्यों भेजा, यह भी समझ नहीं आता
• इस पर किसी theory या opinion का स्वागत है

GN⁺ की राय

• security vulnerability: यह लेख दिखाता है कि ISP की security vulnerability कितनी गंभीर असर डाल सकती है। खासकर, remotely device settings बदलने की क्षमता का दुरुपयोग हो सकता है।
• API security: यह API security के महत्व पर ज़ोर देता है। authentication bypass जैसी vulnerabilities गंभीर security problems पैदा कर सकती हैं।
• user data protection: यह चेतावनी देता है कि customers की personal information और device settings आसानी से expose हो सकती हैं। ISP को ऐसे data की सुरक्षा के लिए अधिक मज़बूत security measures अपनाने चाहिए।
• technical understanding: technical details को इस तरह समझाया गया है कि एक शुरुआती software engineer भी समझ सके, जिससे security vulnerabilities को detect और fix करने के तरीके सीखे जा सकते हैं।
• alternative suggestions: ऐसे issues से निपटने के लिए अधिक secure network equipment और security protocols का उपयोग करना महत्वपूर्ण है। दूसरे ISP या security solutions पर भी विचार किया जा सकता है।