लाखों modems हैक करना (और मेरे modem को हैक करने वाले की जांच)
परिचय
- 2 साल पहले, घर के नेटवर्क में XXE vulnerability का exploit करते समय एक अजीब बात हुई।
- AWS box का इस्तेमाल करके Python web server चलाया गया और बाहरी HTTP requests प्राप्त किए गए।
- कुछ ही सेकंड बाद, एक अज्ञात IP address ने वही HTTP request फिर से भेज दी।
159.65.76.209, तुम कौन हो?
- IP address की जांच करने पर पता चला कि यह DigitalOcean के स्वामित्व में है।
- इस IP address का पहले phishing website और mail server के रूप में इस्तेमाल किया गया था।
- यह ISG Latam नाम की दक्षिण अमेरिकी cyber security कंपनी को निशाना बनाने वाले phishing campaign से जुड़ा था।
हैकर ने हैकर को हैक किया?
- ऐसा लगता है कि इस IP address का 3 साल तक कई malicious activities में इस्तेमाल हुआ।
- phishing site, modem hacking और अन्य हमले एक ही IP से हुए।
- यह भी संभव है कि यह IP address कई मालिकों के बीच घूमता रहा हो।
सबूत जमा करना
- संदिग्ध रूप से हैक किए गए Cox Panoramic Wifi gateway modem को ISP को लौटाया गया और नया modem लिया गया।
- नया modem लगाने के बाद पहले दिखने वाला असामान्य traffic relay होना बंद हो गया।
3 साल बाद
- दोस्तों के साथ बातचीत के दौरान तय किया गया कि पुराने मामले की फिर से जांच की जाए।
- संभव है कि malware operator ने C&C server छिपाने के लिए domain generation algorithm का इस्तेमाल किया हो।
TR-069 protocol का उपयोग करके REST API को निशाना बनाना
- Cox modem सेट करते समय पता चला कि ISP support agent, TR-069 protocol के जरिए डिवाइस को remotely manage कर सकते हैं।
- यह protocol 2004 में लागू किया गया था ताकि ISP नेटवर्क के भीतर के डिवाइस manage कर सकें।
लाखों modems हैक करना
- Cox Business portal के API का विश्लेषण करके device management functions की पुष्टि की गई।
- यह भी पुष्टि हुई कि API paths के जरिए device-related features उपलब्ध कराए जाते हैं।
reverse proxy API में static resources लोड करना
- Burp Intruder का उपयोग करके URL के अंत में
%2f जोड़ने पर static resources लोड किए जा सके।
- Swagger documentation में 700 से अधिक API calls मिलीं।
Cox backend API में authorization bypass मिला
- API request को कई बार replay करके authorization bypass किया जा सका।
- customer search API के जरिए Cox business customers के profiles खोजे जा सके।
यह पुष्टि कि किसी के भी equipment तक पहुंच संभव थी
- MAC address का उपयोग करके modem का IP address खोजा जा सका।
- API के जरिए customer account से जुड़े equipment के MAC addresses खोजे जा सके।
Cox business customer accounts तक पहुंच और अपडेट
- email के जरिए customer accounts खोजे और बदले जा सके।
- API के जरिए customer account की PII खोजी जा सकती थी और equipment के MAC address के माध्यम से commands चलाए जा सकते थे।
encrypted secret के जरिए किसी के भी equipment configuration को overwrite करना
- equipment modification request के लिए आवश्यक
encryptedValue parameter बनाने का तरीका खोज लिया गया।
GN⁺ की राय
- सुरक्षा का महत्व: यह लेख दिखाता है कि network equipment में security vulnerabilities कितने गंभीर प्रभाव डाल सकती हैं। खासकर, ISP द्वारा दिए गए equipment की security बेहद महत्वपूर्ण है।
- API security: यदि API सही तरह से सुरक्षित न हो, तो attacker आसानी से system तक पहुंच सकते हैं। API security को मजबूत करना जरूरी है।
- customer data protection: customer की PII के आसानी से उजागर होने का खतरा है। data protection के लिए अतिरिक्त security measures की जरूरत है।
- vulnerability disclosure: vulnerability मिलने पर उसे सार्वजनिक करना और उसका समाधान निकालना महत्वपूर्ण है। यह समग्र security level बढ़ाने में मदद करता है।
- तकनीकी प्रगति: नई technologies आने के साथ security threats भी बढ़ते हैं। लगातार security education और नवीनतम security technologies अपनाने की जरूरत है।
1 टिप्पणियां
Hacker News राय