漏洞賞金獵人Sam Curry揭露美國大型網路寬頻業者Cox Communications於3月修補的權限繞過漏洞,攻擊者能遠端濫用曝露的後端API,從而重置數百萬臺數據機的組態,並竊取用戶的敏感個資。
這名研究人員對於Cox的數據機感到興趣,起因是2年前他居家辦公的時候,發生非常怪異的現象。當時他正測試一項XXE漏洞,透過外部HTTP伺服器想要偷偷帶走檔案,卻發現有人攔截並重放相關流量,經調查攻擊者來源卻是南美洲資安業者使用的DigitalOcean網域,懷疑對方利用數據機的弱點下手。當時,他向Cox更換數據機後,這起事故不了了之。
直到今年初,他與其他從業人員提及此事,才再度著手調查。結果發現,攻擊者很有可能透過間接方式對數據機下手,經由該公司客服人員遠端控制裝置的API達到目的。
Sam Curry尋線調查此事、找出位於API的弱點,並指出攻擊者一旦成功利用,就能取得該網路服務供應商技術支援人員類似的權限,然後存取該公司任何客戶的數據機,覆蓋組態設定並在裝置上執行命令。
利用這項漏洞,攻擊者還能利用公開的API挖掘用戶的姓名、電話號碼、電子郵件信箱等資料,從而尋找下手目標,竊取能夠識別個人身分的資訊(PII)。
研究人員指出,他發現超過700個曝露的API,其中不少提供了管理功能,一旦攻擊者藉由重新傳輸HTTP請求,就有機會在未經授權的情況下執行命令。
由於Cox是美國最大的寬頻網路業者之一,服務遍及超過30個州、擁有近700萬個企業與個人用戶,這樣的漏洞影響相當廣泛。對此,Cox於3月初獲報後著手處理,並得到研究人員的確認。
熱門新聞
2024-12-24
2024-12-22
2024-12-20
2024-08-14
2024-11-29