Модемы, предоставленные Cox Communications, очевидно, имели брешь в безопасности, позволявшую киберпреступникам красть конфиденциальную информацию пользователей.
Уязвимость была обнаружена исследователем кибербезопасности Сэмом Карри, который поделился своими выводами с Коксом и помог устранить пробел.
Карри сказал, что обнаружил уязвимость для обхода авторизации, которую злоумышленники могли использовать для раскрытия защищенных API. Это позволило бы им сбросить настройки уязвимых модемов и предоставить себе, по сути, те же разрешения, как если бы они были специалистами службы поддержки интернет-провайдеров.
Практическое применение
«Эта серия уязвимостей продемонстрировала, как совершенно внешний злоумышленник без каких-либо предварительных условий может выполнять команды и изменять настройки миллионов модемов, получать доступ к личным данным каждого бизнес-клиента и получать по существу те же привилегии, что и группа поддержки интернет-провайдера», — сказал Карри. в заявлении запись в блоге он объясняет свои выводы.
Практические последствия этого злоупотребления также очень серьезны, поскольку злоумышленники могут искать клиентов Cox, используя имена, номера телефонов, адреса электронной почты или даже номера счетов. Оттуда они могут украсть ценную информацию и использовать ее для кражи личных данных, фишинговых атак, социальной инженерии и многого другого. Они могли даже украсть пароли Wi-Fi подключенных устройств.
Для киберпреступников адреса электронной почты, связанные с различными службами, такими как телефон или Интернет, являются настоящей находкой, поскольку они помогают им настроить фишинговые электронные письма и тем самым повысить свои шансы на успех.
«Было более 700 открытых API, многие из которых предоставляли административные функции (например, опрос подключенных к модему устройств)», — пояснил Карри далее. «Каждый API страдал от одних и тех же проблем с разрешениями, когда воспроизведение HTTP-запросов позволяло злоумышленнику выполнять несанкционированные команды».
Уязвимый API был удален в тот же день, когда Карри сообщил о нем, а 3 марта Кокс выпустил патч.
Над ПипКомпьютер
Больше от TechRadar Pro
