Milyonlarca Modemin Hacklenmesi (ve Benim Modemimi Hackleyen Kişiyi Soruşturmak)

Milyonlarca modemin hacklenmesi (ve benim modemimi hackleyen kişiyi soruşturmak)

Giriş

• 2 yıl önce, ev ağımda XXE açığından yararlanırken garip bir şey oldu.
• Bir AWS kutusu kullanarak Python web sunucusu çalıştırıyor ve dışarıdan gelen HTTP isteklerini alıyordum.
• Birkaç saniye sonra, bilinmeyen bir IP adresi aynı HTTP isteğini yeniden gönderdi.

159.65.76.209, sen kimsin?

• IP adresini araştırınca bunun DigitalOcean'a ait olduğu görüldü.
• Bu IP adresi geçmişte oltalama web siteleri ve posta sunucusu olarak kullanılmıştı.
• ISG Latam adlı Güney Amerika siber güvenlik şirketini hedef alan bir oltalama kampanyasıyla bağlantılıydı.

Hacker, hacker'ı mı hackliyor?

• IP adresinin 3 yıl boyunca çeşitli kötü amaçlı faaliyetlerde kullanıldığı görülüyor.
• Oltalama siteleri, modem hackleme ve çeşitli saldırılar aynı IP'den gerçekleşti.
• IP adresi birden fazla sahip arasında el değiştirmiş de olabilir.

Kanıt teslimi

• Hacklenmiş olduğundan şüphelenilen Cox Panoramic Wifi Gateway modemi ISS'ye iade edip yeni bir modem aldım.
• Yeni modemi kurduktan sonra, önceki anormal trafik yeniden iletimi ortadan kalktı.

3 yıl sonra

• Arkadaşlarla sohbet ederken geçmişteki olayı yeniden araştırmaya karar verdim.
• Kötü amaçlı yazılım operatörünün C&C sunucusunu gizlemek için alan adı üretim algoritması kullanmaya çalışmış olabileceği düşünüldü.

TR-069 protokolü kullanılarak REST API hedefleme

• Cox modemini yapılandırırken, ISS destek temsilcisinin TR-069 protokolü üzerinden cihazı uzaktan yönetebildiğini öğrendim.
• Bu protokol 2004'te uygulanmaya başladı ve ISS'lerin ağ içindeki cihazları yönetmesini sağlıyor.

Milyonlarca modemin hacklenmesi

• Cox Business portalının API'sini analiz ederek cihaz yönetimi işlevlerini doğruladım.
• API yolları üzerinden cihazla ilgili işlevlerin sunulduğunu gördüm.

Ters proxy API'sinden statik kaynak yükleme

• Burp Intruder kullanarak URL sonuna %2f eklediğimde statik kaynakları yükleyebildim.
• Swagger dokümantasyonunda 700'den fazla API çağrısı tespit ettim.

Cox arka uç API'sinde yetki atlatma keşfi

• API isteklerini birkaç kez yeniden göndererek yetkiyi atlayabildim.
• Müşteri arama API'si üzerinden Cox Business müşterilerinin profillerini arayabildim.

Herkesin ekipmanına erişilebildiğinin doğrulanması

• MAC adresini kullanarak modemin IP adresini arayabildim.
• API üzerinden müşteri hesabına bağlı ekipmanların MAC adreslerini arayabildim.

Cox Business müşteri hesaplarına erişim ve güncelleme

• E-posta ile müşteri hesaplarını arayabiliyor ve değiştirebiliyordum.
• API üzerinden müşteri hesaplarının PII verilerini sorgulayabiliyor ve ekipmanın MAC adresi üzerinden komut çalıştırabiliyordum.

Şifrelenmiş sırlar üzerinden herkesin cihaz yapılandırmasını ezme

• Cihaz değiştirme isteği için gereken encryptedValue parametresini üretmenin bir yolunu buldum.

GN⁺'un görüşü

• Güvenliğin önemi: Bu yazı, ağ ekipmanlarındaki güvenlik açıklarının ne kadar ciddi etkilere yol açabileceğini gösteriyor. Özellikle ISS tarafından sağlanan ekipmanların güvenliği çok önemli.
• API güvenliği: API'ler düzgün korunmazsa saldırganlar sistemlere kolayca erişebilir. API güvenliğinin güçlendirilmesi gerekiyor.
• Müşteri verilerinin korunması: Müşterilerin PII verilerinin kolayca açığa çıkma riski var. Verilerin korunması için ek güvenlik önlemleri gerekli.
• Açıkların ifşası: Bir güvenlik açığı bulunduğunda bunu açıklama ve çözme süreci önemlidir. Bu, genel güvenlik seviyesinin yükselmesine katkı sağlar.
• Teknolojik gelişim: Yeni teknolojiler devreye girdikçe güvenlik tehditleri de artıyor. Sürekli güvenlik eğitimi ve güncel güvenlik teknolojilerinin benimsenmesi gerekiyor.