网络安全研究员 Sam Curry 在试验 HTTP 流量设置时发现,他的家庭网络遭到入侵。该研究员发现入侵并不局限于特定设备,他的 PC 和 iPhone 均受到影响。
经过进一步调查,库里得出结论,此次入侵可能是由于对考克斯调制解调器的大规模入侵,而非局部攻击。此次入侵可能影响数百万个人和整个网络,攻击者与网络钓鱼活动和路由器攻击的历史有关。
陌生 IP 地址重放 Cox 调制解调器 HTTP 请求
在尝试测试其网络的 HTTP 流量设置时, Curry发现一个陌生的 IP 地址(159.65.76.209) 一直在拦截其家庭网络上的网络流量请求。这种可疑行为并不与单个设备有关,除了影响到研究人员的电脑外,还影响到他的 iPhone。
可疑 IP [159.65.76.209] 的病毒总扫描(来源:samcurry.net)
这让他相信,此次事件远比单纯的局部攻击场景复杂得多。当研究人员试图通过在 AWS(亚马逊网络服务)和 GCP(谷歌云平台)等云提供商之间切换来隔离入侵时,可疑活动仍然存在。这让他怀疑他的调制解调器已被入侵。
Sam 追踪到这个可疑 IP 地址,并将其追溯到 Digital Ocean,三年后,他在度假时与在各种威胁情报公司工作的朋友分享了他的发现,他们一起着手找出问题的严重性。研究人员能够将这个可疑 IP 地址与恶意使用历史联系起来,例如参与托管针对 ISG Latam(一家南美网络安全公司)和阿迪达斯的定向网络钓鱼活动的内容。
该 IP 地址曾用于托管 1,000 多个域名,所有域名都遵循名称后跟六位数字和顶级域名的模式。此模式表明恶意软件操作员使用域名生成算法来轮换 C&C 服务器地址以进行进一步混淆。
来源:samcurry.net
研究人员表示,很难理解攻击者的意图,因为他们使用相同的 IP 地址攻击了 ISG Latam、阿迪达斯和他自己的调制解调器。
隐藏的 API 调用和入侵程度
研究人员进一步深入研究了他所拥有的 Cox 调制解调器型号中公开已知的漏洞,但发现即使三年后也没有已知的漏洞。
研究人员在帮助朋友设置 Cox 调制解调器时确认了路由器内有远程管理功能,拨打了 ISP 的支持电话并询问他们是否能够远程将更新推送到新位置的设备。支持代理透露,这种远程管理功能包括更新设备设置、更改 WiFi 密码和连接设备的信息。
研究人员推测路由器的远程管理中可能存在后门,重点关注允许 ISP 远程管理设备的 TR-069 协议。研究人员强烈怀疑此功能或 ISP 支持团队使用的工具正在被利用。
在检查 Cox Business 门户的 API 后,研究人员发现了许多未受保护的端点,攻击者可能会对其进行大量未经授权的访问。研究人员认为,易受攻击的 API 可能可以访问 Cox 提供的住宅和商业服务。
曝光 COX 调制解调器的隐藏 API 调用(来源:samcurry.net)
研究人员能够利用路由器配置页面来加载隐藏的 API 文档,从而暴露一个潜在的漏洞,理论上该漏洞可以让黑客控制数百万 Cox 客户的调制解调器。
Curry 通过其负责任的披露页面向 Cox 披露了这些发现。此次披露促使 Cox 在六小时内关闭了易受攻击的 API 调用,研究人员确认第二天他们再也无法重现任何发现的漏洞。
Cox 表示,报告的 API 向量过去从未被观察到被利用,但确认它们与报告的 DigitalOcean IP 地址没有任何关联。研究人员表示,这表明他的设备已通过除其博客和 ISP 服务中披露的方法之外的另一种方法遭到入侵。
研究人员的设备被攻陷以及在发现调制解调器隐藏的 API 调用中的漏洞后自己进行披露都是远程管理系统固有风险的例子。
发表评论
您还未登录,请先登录。
登录