入侵数百万调制解调器(以及调查是谁入侵了我的调制解调器)

两年前,作者在家用网络工作时遇到奇怪事情,利用盲 XXE 漏洞需外部 HTTP 服务器导出文件,于是启动 AWS 盒子运行 Python 网络服务器接收漏洞服务器流量,运行后从家用电脑发送 cURL 请求确认能接收外部 HTTP 请求,之后看到日志记录,接着发现未知 IP 地址重复相同请求,作者认为电脑被黑客攻击并监控流量,为验证在不同设备上是否有同样行为,用 iPhone 发送请求也被相同未知 IP 地址拦截重播,作者又启动新 AWS 盒子运行 Nginx 确认原实例未被 compromised,在 GCP 上也观察到相同未知 IP 地址重播 HTTP 请求,排除 AWS 后怀疑调制解调器被黑客攻击,查询 IP 地址所有者为 DigitalOcean,随后展开调查,发现与该 IP 地址相关的多个域名,其中有 phishing 网站和邮件服务器,攻击者曾用该 IP 地址针对南美网络安全公司进行 phishing 活动,还通过 URLscan 了解到相关网站的情况,作者恐慌后更换调制解调器,新调制解调器设置好后之前的行为停止,三年后与朋友交流,朋友发现与该 IP 地址相关的域名注册模式可能是恶意软件运营商使用的域生成算法,作者猜测攻击者可能通过 Cox Panoramic Wifi 网关的 TR-069 协议入侵,通过分析 Cox Business 门户的 API 发现可能存在安全漏洞,如可绕过授权访问 API 端点、获取客户账户信息和硬件 MAC 地址等,还能通过泄露的加密秘密覆盖设备设置,实现对任何调制解调器的命令执行和配置更新,最后作者向 Cox 报告漏洞,Cox 六小时内修复暴露的 API 调用并开始处理授权漏洞,作者还分享了整个事件的 timeline 和感谢的人。

主要观点:作者在家用网络工作时遭遇奇怪流量拦截事件,经过调查发现可能是调制解调器被黑客攻击,通过分析 Cox 的相关系统找到多处安全漏洞,并向 Cox 报告漏洞及后续处理情况。

关键信息:两年前的流量拦截事件、与 DigitalOcean 相关的 IP 地址调查、Cox Business 门户的 API 分析、安全漏洞的发现与利用、向 Cox 报告及后续处理。

重要细节:包括各种 HTTP 请求及响应、不同设备上的流量拦截情况、相关域名的信息、Cox 系统的 API 路径及功能等。

阅读 13
0 条评论