1P by neo 8일전 | favorite | 댓글 1개

해킹 수백만 개의 모뎀 (그리고 내 모뎀을 해킹한 사람을 조사하기)

소개

  • 2년 전, 집 네트워크에서 XXE 취약점을 악용하던 중 이상한 일이 발생함.
  • AWS 박스를 사용해 Python 웹 서버를 실행하고 외부 HTTP 요청을 수신했음.
  • 몇 초 후, 알 수 없는 IP 주소가 동일한 HTTP 요청을 재전송함.

159.65.76.209, 당신은 누구인가?

  • IP 주소를 조사한 결과, DigitalOcean 소유로 확인됨.
  • 이 IP 주소는 과거에 피싱 웹사이트와 메일 서버로 사용된 적이 있음.
  • ISG Latam이라는 남미 사이버 보안 회사를 대상으로 한 피싱 캠페인과 관련이 있음.

해커가 해커를 해킹?

  • IP 주소가 3년 동안 여러 악의적인 활동에 사용된 것으로 보임.
  • 피싱 사이트, 모뎀 해킹 등 다양한 공격이 동일한 IP에서 발생함.
  • IP 주소가 여러 소유자 사이에서 순환했을 가능성도 있음.

증거 제출

  • 해킹된 것으로 의심되는 Cox Panoramic Wifi 게이트웨이 모뎀을 ISP에 반납하고 새 모뎀을 받음.
  • 새로운 모뎀 설치 후, 이전의 비정상적인 트래픽 재전송이 사라짐.

3년 후

  • 친구들과의 대화 중, 과거 사건을 다시 조사하기로 결정함.
  • 악성코드 운영자가 도메인 생성 알고리즘을 사용해 C&C 서버를 숨기려 했을 가능성이 있음.

TR-069 프로토콜을 사용한 REST API 타겟팅

  • Cox 모뎀을 설정하면서 ISP 지원 에이전트가 TR-069 프로토콜을 통해 장치를 원격으로 관리할 수 있다는 것을 알게 됨.
  • 이 프로토콜은 2004년에 구현되어 ISP가 네트워크 내 장치를 관리할 수 있게 함.

수백만 개의 모뎀 해킹

  • Cox Business 포털의 API를 분석하여 장치 관리 기능을 확인함.
  • API 경로를 통해 장치 관련 기능을 제공하는 것을 확인함.

역방향 프록시 API에서 정적 리소스 로드

  • Burp Intruder를 사용해 URL 끝에 %2f를 추가하여 정적 리소스를 로드할 수 있었음.
  • Swagger 문서에서 700개 이상의 API 호출을 확인함.

Cox 백엔드 API에서 권한 우회 발견

  • API 요청을 여러 번 재전송하여 권한을 우회할 수 있었음.
  • 고객 검색 API를 통해 Cox 비즈니스 고객의 프로필을 검색할 수 있었음.

누구의 장비든 접근 가능 확인

  • MAC 주소를 사용해 모뎀의 IP 주소를 검색할 수 있었음.
  • API를 통해 고객 계정에 연결된 장비의 MAC 주소를 검색할 수 있었음.

Cox 비즈니스 고객 계정 접근 및 업데이트

  • 이메일을 통해 고객 계정을 검색하고 수정할 수 있었음.
  • API를 통해 고객 계정의 PII를 검색하고 장비의 MAC 주소를 통해 명령을 실행할 수 있었음.

암호화된 비밀을 통해 누구의 장비 설정이든 덮어쓰기

  • 장비 수정 요청에 필요한 encryptedValue 매개변수를 생성할 방법을 찾음.

GN⁺의 의견

  • 보안의 중요성: 이 기사는 네트워크 장비의 보안 취약점이 얼마나 심각한 영향을 미칠 수 있는지를 보여줌. 특히, ISP가 제공하는 장비의 보안이 매우 중요함.
  • API 보안: API가 제대로 보호되지 않으면, 공격자가 쉽게 시스템에 접근할 수 있음. API 보안 강화가 필요함.
  • 고객 데이터 보호: 고객의 PII가 쉽게 노출될 수 있는 위험이 있음. 데이터 보호를 위한 추가적인 보안 조치가 필요함.
  • 취약점 공개: 취약점을 발견했을 때, 이를 공개하고 해결하는 과정이 중요함. 이는 전체적인 보안 수준을 높이는 데 기여함.
  • 기술 발전: 새로운 기술이 도입되면서 보안 위협도 함께 증가함. 지속적인 보안 교육과 최신 보안 기술 도입이 필요함.
Hacker News 의견
  • 댓글 이동: 댓글이 다른 링크로 이동되었음. 이유는 albinowax_가 처음 게시했지만 karma를 얻지 못해 안타까웠기 때문임.
  • xrayarx 언급: xrayarx가 불편해하지 않기를 바람. 이와 같은 경우를 위해 karma 공유 기능을 구현할 계획임.
  • 임시 조치: 현재는 임시로 수동 접근 방식을 사용하고 있음.