Миллионы Cox-модемов поддаются удаленному взлому из-за уязвимостей
Cox Communications, крупная телекоммуникационная компания, недавно устранила ряд уязвимостей, которые могли позволить удаленным хакерам получить контроль над миллионами клиентских модемов. Эти уязвимости были обнаружены Сэмом Карри, известным исследователем, известным тем, что выявляли существенные недостатки безопасности в различных продуктах, в том числе от Apple, Points.com и многочисленных производителей автомобилей.
Расследование Карри в отношении модемов Cox началось в 2021 году после того, как его собственный домашний модем был взломан. Хотя Кокс заменил свой модем до того, как смог его проанализировать, Карри вновь вернулся к этой проблеме в начале 2024 года. Его последующее исследование выявило уязвимость API, которую можно было использовать для обхода авторизации, предоставляя злоумышленникам те же привилегии доступа, что и службе технической поддержки Кокса.
Эта уязвимость могла позволить злоумышленникам перезаписать параметры конфигурации, получить доступ к маршрутизаторам и выполнить команды на устройствах без необходимости предварительной аутентификации. По мнению Карри, эти уязвимости могли позволить внешнему злоумышленнику выполнить действия, аналогичные действиям службы поддержки интернет-провайдера, включая доступ к личной информации бизнес-клиентов и изменение настроек модема.
В гипотетическом сценарии атаки Карри проиллюстрировал, что злоумышленник может использовать открытый API для поиска целевого бизнес-пользователя Cox по его имени, адресу электронной почты, номеру телефона или номеру счета. Затем злоумышленник может получить дополнительную информацию из учетной записи пользователя, например пароли Wi-Fi, и выполнить произвольные команды, обновить настройки устройства или захватить учетные записи.
Карри сообщил об уязвимостях компании Cox 4 марта, и компания быстро приняла меры, чтобы предотвратить любую эксплуатацию на следующий день. Кроме того, Кокс сообщил Карри, что проведет тщательную проверку безопасности в ответ на его выводы.
