Milyonlarca modemi hacklemek ve benim modemimi hackleyen kişiyi araştırmak

 (samcurry.net)
2 puan yazan GN⁺ 2024-06-05 | 1 yorum | WhatsApp'ta paylaş
  • 2 yıl önce evde güvenlik açığı testi yaparken tuhaf bir şey yaşadım
  • AWS kutusunda bir HTTP sunucusu ayağa kaldırıp güvenlik açığı bulunan bir sunucudan dosya çekmeye çalışıyordum
  • Her şey doğru yapılandırılmış gibi görünüyordu, ancak güvenlik açığı testine geri dönmek üzereyken beklenmedik bir log ortaya çıktı
  • Birisi, ev ağım ile AWS kutusu arasındaki aynı HTTP isteğini 10 saniye sonra yakalayıp yeniden gönderdi
  • Bu trafiğe erişilememesi ve arada bir aracı olmaması gerekiyordu
  • İlk aklıma gelen, bilgisayarımın ele geçirildiği ve bir saldırganın trafiği aktif olarak izlediği oldu
  • Aynı durumun iPhone'da da yaşanıp yaşanmadığını kontrol ettim; bilinmeyen bir IP adresi hem bilgisayarımın hem de iPhone'umun HTTP isteklerini yakalayıp yeniden gönderiyordu
  • Büyük olasılıkla ISS, modem ya da AWS taraflarından biri ihlal edilmişti
  • AWS'nin hacklenmiş olduğu gibi saçma bir ihtimali elemek için GCP'de de bir kutu açtım; aynı şey yine oldu
  • Geriye kalan tek olasılık modemin hacklenmiş olmasıydı, ama saldırgan kimdi? IP adresi sahibini sorguladığımda bunun DigitalOcean'a ait olduğunu gördüm
  • Bu IP son birkaç yılda çeşitli phishing siteleri ve posta sunucuları için kullanılmıştı
  • Ele geçirilmiş cihaz hâlâ çalışıyordu, bu yüzden fişini çekip bir kutuya koydum
  • Cox mağazasına gidip hacklenmiş modemi iade ettim ve yenisini aldım
  • Yeni modemi kurduktan sonra garip davranış durdu, ancak modemin tam olarak nasıl ele geçirildiğini anlayamadım
  • 3 yıl sonra güvenlik uzmanı arkadaşlarımla tatildeyken bu olayı anlattım; ilgilerini çekti ve araştırmaya başladılar
  • IP adresinin kaydettiği alan adlarına baktığımızda büyük miktarda algoritmik olarak üretilmiş alan adı gördük. Bu da bir C&C sunucusuna işaret ediyordu
  • Saldırgan aynı IP üzerinde birden fazla kötü amaçlı faaliyet yürütmüştü ama 3 yıl boyunca kapatılmamıştı. Niyetini anlamak zordu
  • Yeni modem de aynı modeldi, bu yüzden saldırganın tekrar sızmış olabileceğini de düşündük
  • ISS'nin cihazları TR-069 protokolü üzerinden yönetebildiğine odaklandık. Destek aracı altyapısı saldırıya uğrarsa modemler ele geçirilebilirdi
  • Cox Business portalının JavaScript'ini analiz ederek 700'den fazla API yolu bulduk. Bunlar içinde ekipman ve müşteri hesabı erişimiyle en çok ilişkili API'ler accountequipment, datainternetgateway ve account idi
  • Kimlik doğrulamayı atlatmaya izin veren bir güvenlik açığı bulduk. HTTP isteğini tekrar tekrar göndererek yetkisiz komutlar çalıştırılabiliyordu
  • MAC adresi üzerinden herhangi birinin ekipmanı ile doğrudan iletişim kurulabildiğini doğruladık. Cox milyonlarca müşteriye hizmet veriyor
  • Ekipman yapılandırmasını ezmek, yönlendiriciye erişmek ve cihaz üzerinde komut çalıştırmak gibi ISS teknik destek ekibine benzer yetkiler elde edilebildiğini kanıtladık
  • Bu, herhangi bir ön koşul olmadan milyonlarca modemin ayarlarını değiştirmeyi, müşteri PII verilerine erişmeyi ve ISS destek ekibi seviyesinde yetkiler elde etmeyi mümkün kılan bir güvenlik açığıydı
  • Olası saldırı senaryosu şöyleydi
    1. API ile Cox Business müşterilerini arama
    2. UUID üzerinden ekipman MAC adresi, e-posta, telefon numarası, adres gibi müşteri PII verilerini elde etme
    3. MAC adresi üzerinden WiFi şifresi ve bağlı cihazları görüntüleme
    4. İsteğe bağlı komut çalıştırma, ekipman özelliklerini değiştirme, hesabı ele geçirme
  • Güvenlik açığını Cox'a bildirdik; 6 saat içinde API'yi kapattılar ve kimlik doğrulama sorununu düzeltmeye başladılar
  • Ortaya açık halde duran 700'den fazla API'nin önemli bir kısmı yönetici işlevleri sunuyordu ve hepsinde aynı yetki sorunu vardı
  • Bu vaka, ISS ile müşteri ekipmanı arasındaki güven katmanındaki zayıflıkları gösteriyor
  • Modemimin tam olarak nasıl hacklendiğini hâlâ merak ediyorum. Saldırganın trafiği neden yeniden gönderdiğini de anlayamıyorum
  • İlgili teori ve görüşlere açığım

GN⁺ görüşü

  • Güvenlik açığı: Bu yazı, bir ISS'deki güvenlik açıklarının ne kadar ciddi sonuçlar doğurabileceğini gösteriyor. Özellikle cihaz ayarlarının uzaktan değiştirilebilmesi kötüye kullanılabilir.
  • API güvenliği: API güvenliğinin önemini vurguluyor. Kimlik doğrulama atlatma gibi açıklar ciddi güvenlik sorunlarına yol açabilir.
  • Kullanıcı verilerinin korunması: Müşterilerin kişisel bilgilerinin ve cihaz ayarlarının kolayca açığa çıkma riskine dikkat çekiyor. ISS'lerin bu verileri korumak için daha güçlü güvenlik önlemleri alması gerekiyor.
  • Teknik anlayış: Teknik ayrıntıları, başlangıç seviyesindeki yazılım mühendislerinin bile anlayabileceği şekilde anlatarak güvenlik açıklarının nasıl tespit edilip giderilebileceğine dair fikir veriyor.
  • Alternatifler: Bu tür sorunları çözmek için daha güvenli ağ ekipmanları ve güvenlik protokolleri kullanmanın önemli olduğunu belirtiyor. Başka ISS'ler veya güvenlik çözümleri değerlendirilebilir.

İlgili okumalar

1 yorum

 
GN⁺ 2024-06-05
Hacker News yorumu
  • Cox’un sorunu inkâr etmeden veya haberi getireni hedef almadan sorumlu biçimde yanıt vermesi etkileyici. Hatanın ne olduğuna dair devam niteliğinde bir haber okumak isterim.
  • ISP’nin kendi modemini veya yönlendiricisini kullanmayı dayatması rahatsız edici. AT&T yönlendiricimin hacklenme ihtimali var ama HTTPS sayesinde neyse ki güvendeyim.
  • Harika bir makale ve araştırmaydı. Nokia yönlendiricinin yerel yönetici arayüzü düzgün şekilde kimlik doğrulaması yapmıyor gibi görünüyor. Bazı ayarları değiştiremiyordum ama sayfayı manipüle ederek değiştirebildim.
  • Birçok yönlendirici manuel firmware güncellemesi gerektiriyor. GL.iNet yönlendiricilerde yakın zamanda bir RCE açığı vardı. Firmware güncellemesi ve SSH erişimini devre dışı bırakmak gibi önlemler tavsiye ediliyor.
  • Saldırganın HTTP trafiğini nasıl ele geçirdiği hâlâ merak konusu. Cox firmware sürümünü kontrol edip otomatik güncellemeyle sorunu çözebilir.
  • Cox geçmişte bu açığın hiç istismar edilmediğini iddia ediyor ama buna güvenmek zor. Ağ yapısı gevşek görünüyor.
  • Büyük bir teknoloji şirketinde bu kadar büyük bir açığın bulunması sarsıcı. Makale harika ama bu açık affedilemez.
  • Açığı bildiren kişiye bir ödül verilip verilmediğini merak ediyorum. Büyük bir katkı yaptı ama hiçbir ödül almamış gibi görünüyor. Bu oldukça aşağılayıcı.
  • Cox’un geçmişte istismar olmadığını söylemesinin nedeni muhtemelen log veya denetim verisinin yetersiz olmasıdır.
  • Makale çok iyi ama kararlı bir saldırgan Cox teknisyeni gibi davranarak erişim sağlayabilir. ISP’ler uzaktan erişimi varsayılan olarak devre dışı bırakan ayarları uygulamalı.