Cox Communications a corrigé une vulnérabilité de bypass d'autorisation qui permettait à des attaquants distants d'abuser des API de backend exposées pour réinitialiser les paramètres de millions de modems fournis par Cox et voler les informations personnelles sensibles des clients.

Cox est la plus grande entreprise privée à large bande des États-Unis, fournissant des services Internet, de télévision et de téléphonie sur des réseaux à fibre optique à près de sept millions de foyers et d'entreprises dans plus de 30 États.

Le chasseur de bugs Sam Curry a découvert la faille de sécurité et a constaté qu'une exploitation réussie donnait aux acteurs de la menace un ensemble d'autorisations similaire à celui de l'assistance technique du fournisseur d'accès à Internet.

Les attaquants auraient pu utiliser cet accès pour exploiter n'importe lequel des millions d'appareils Cox accessibles via les API vulnérables de Cox, en remplaçant les paramètres de configuration et en exécutant des commandes sur l'appareil.

Par exemple, en exploitant cette vulnérabilité de bypass de l'authentification, les acteurs malveillants peuvent rechercher un client Cox en utilisant son nom, son numéro de téléphone, son adresse électronique ou son numéro de compte via les API exposées.

Ils peuvent ensuite voler leurs informations personnelles identifiables (PII), y compris les adresses MAC, les adresses électroniques, les numéros de téléphone et les adresses.

Les attaquants peuvent également collecter les mots de passe Wi-Fi des appareils connectés et d'autres informations en interrogeant l'adresse MAC du matériel volée lors de l'étape précédente de l'attaque. Ils peuvent ensuite exécuter des commandes non autorisées, modifier les paramètres de l'appareil et prendre le contrôle des comptes de la victime.

« Cette série de vulnérabilités a démontré qu'un attaquant totalement externe, sans aucune condition préalable, aurait pu exécuter des commandes et modifier les paramètres de millions de modems, accéder aux informations personnelles de n'importe quel client professionnel et obtenir essentiellement les mêmes autorisations que l'équipe d'assistance d'un fournisseur d'accès à Internet », a déclaré M. Curry.

Dans le cadre d'un examen de suivi de la sécurité, Cox a également cherché à savoir si ce vecteur d'attaque avait déjà été exploité avant d'être signalé, mais n'a trouvé aucune preuve de tentatives d'abus antérieures.