Un investigador de seguridad llamado Sam Curry ha revelado en un informe problemas de omisión de autorización y vulnerabilidades que inciden en los módems del proveedor de banda ancha Cox que los ciberdelincuentes podrían utilizar para entrar de manera no autorizada en los dispositivos y ejecutar comandos maliciosos.
"Esta serie de vulnerabilidades demostró una forma en la que un atacante totalmente externo sin requisitos previos podría haber ejecutado comandos y modificado la configuración de millones de módems, accedido a la PII de cualquier cliente empresarial y obtenido esencialmente los mismos permisos que un equipo de soporte de ISP", ha explicado el investigador de seguridad Sam Curry en un nuevo informe publicado hoy.
El investigador llevó a cabo la divulgación responsable el pasado 4 de marzo y este proveedor de banda ancha estadounidense resolvió los problemas de omisión de autorización en un plazo de 24 horas.
"Me sorprendió mucho el acceso aparentemente ilimitado que los ISP tenían entre bastidores a los dispositivos de los clientes", ha comentado Curry a The Hacker News a través de un correo electrónico.
Resulta que los agentes de soporte de Cox tienen la capacidad de controlar y actualizar de manera remota la configuración del dispositivo, como cambiar la contraseña del WiFi y ver los dispositivos conectados, utilizando el protocolo TR-069.
Posibilidades para los cibermalos
El análisis de Curry ayudó a identificar unos 700 puntos finales API expuestos, algunos de los cuales podrían explotarse para obtener funcionalidades administrativas y ejecutar comandos no autorizados, según recoge The Hacker News.
Los actores de amenazas podrían explotar la búsqueda de un cliente y la recuperación de los detalles de su cuenta comercial usando solo su nombre al reproducir la solicitud un par de veces, obtener las direcciones MAC del hardware conectado en su cuenta e incluso acceder y modificar cuentas de clientes comerciales.
Además, la investigación halló que se puede sobreescribir la configuración del dispositivo de un cliente suponiendo que esté en posesión de un secreto criptográfico que se requiere al manejar solicitudes de modificación de hardware, usándolo para finalmente restablecer y reiniciar el dispositivo.