해킹 수백만 개의 모뎀 (그리고 내 모뎀을 해킹한 사람을 조사하기)
소개
- 2년 전, 집 네트워크에서 XXE 취약점을 악용하던 중 이상한 일이 발생함.
- AWS 박스를 사용해 Python 웹 서버를 실행하고 외부 HTTP 요청을 수신했음.
- 몇 초 후, 알 수 없는 IP 주소가 동일한 HTTP 요청을 재전송함.
159.65.76.209, 당신은 누구인가?
- IP 주소를 조사한 결과, DigitalOcean 소유로 확인됨.
- 이 IP 주소는 과거에 피싱 웹사이트와 메일 서버로 사용된 적이 있음.
- ISG Latam이라는 남미 사이버 보안 회사를 대상으로 한 피싱 캠페인과 관련이 있음.
해커가 해커를 해킹?
- IP 주소가 3년 동안 여러 악의적인 활동에 사용된 것으로 보임.
- 피싱 사이트, 모뎀 해킹 등 다양한 공격이 동일한 IP에서 발생함.
- IP 주소가 여러 소유자 사이에서 순환했을 가능성도 있음.
증거 제출
- 해킹된 것으로 의심되는 Cox Panoramic Wifi 게이트웨이 모뎀을 ISP에 반납하고 새 모뎀을 받음.
- 새로운 모뎀 설치 후, 이전의 비정상적인 트래픽 재전송이 사라짐.
3년 후
- 친구들과의 대화 중, 과거 사건을 다시 조사하기로 결정함.
- 악성코드 운영자가 도메인 생성 알고리즘을 사용해 C&C 서버를 숨기려 했을 가능성이 있음.
TR-069 프로토콜을 사용한 REST API 타겟팅
- Cox 모뎀을 설정하면서 ISP 지원 에이전트가 TR-069 프로토콜을 통해 장치를 원격으로 관리할 수 있다는 것을 알게 됨.
- 이 프로토콜은 2004년에 구현되어 ISP가 네트워크 내 장치를 관리할 수 있게 함.
수백만 개의 모뎀 해킹
- Cox Business 포털의 API를 분석하여 장치 관리 기능을 확인함.
- API 경로를 통해 장치 관련 기능을 제공하는 것을 확인함.
역방향 프록시 API에서 정적 리소스 로드
- Burp Intruder를 사용해 URL 끝에 %2f를 추가하여 정적 리소스를 로드할 수 있었음.
- Swagger 문서에서 700개 이상의 API 호출을 확인함.
Cox 백엔드 API에서 권한 우회 발견
- API 요청을 여러 번 재전송하여 권한을 우회할 수 있었음.
- 고객 검색 API를 통해 Cox 비즈니스 고객의 프로필을 검색할 수 있었음.
누구의 장비든 접근 가능 확인
- MAC 주소를 사용해 모뎀의 IP 주소를 검색할 수 있었음.
- API를 통해 고객 계정에 연결된 장비의 MAC 주소를 검색할 수 있었음.
Cox 비즈니스 고객 계정 접근 및 업데이트
- 이메일을 통해 고객 계정을 검색하고 수정할 수 있었음.
- API를 통해 고객 계정의 PII를 검색하고 장비의 MAC 주소를 통해 명령을 실행할 수 있었음.
암호화된 비밀을 통해 누구의 장비 설정이든 덮어쓰기
- 장비 수정 요청에 필요한
encryptedValue 매개변수를 생성할 방법을 찾음.
GN⁺의 의견
-
보안의 중요성: 이 기사는 네트워크 장비의 보안 취약점이 얼마나 심각한 영향을 미칠 수 있는지를 보여줌. 특히, ISP가 제공하는 장비의 보안이 매우 중요함.
-
API 보안: API가 제대로 보호되지 않으면, 공격자가 쉽게 시스템에 접근할 수 있음. API 보안 강화가 필요함.
-
고객 데이터 보호: 고객의 PII가 쉽게 노출될 수 있는 위험이 있음. 데이터 보호를 위한 추가적인 보안 조치가 필요함.
-
취약점 공개: 취약점을 발견했을 때, 이를 공개하고 해결하는 과정이 중요함. 이는 전체적인 보안 수준을 높이는 데 기여함.
-
기술 발전: 새로운 기술이 도입되면서 보안 위협도 함께 증가함. 지속적인 보안 교육과 최신 보안 기술 도입이 필요함.