数百万台のビジネスデバイスが危機に!Cox CommunicationsのAPI脆弱性発覚

数百万台のビジネスデバイスが危機に!Cox CommunicationsのAPI脆弱性発覚 - innovaTopia - (イノベトピア)

米国の大手ブロードバンドプロバイダーであるCox CommunicationsのインフラストラクチャにおけるAPI認証バイパスの脆弱性が発見され、数百万台のビジネス顧客のデバイスが攻撃にさらされる可能性があった。この脆弱性を悪用すると、攻撃者はISPサポートチームのメンバーと同じ権限でデバイスにアクセスし、ビジネス顧客の個人識別情報(PII)、Wi-Fiパスワード、接続されたデバイスの情報を取得し、任意のコマンドを実行することができた。

独立したバグ研究者であるSam Curryがこの問題を特定し、2023年6月3日にブログ投稿で公開した。Curryは、Coxのバックエンドインフラストラクチャに露出していた700以上のAPIの根本的な脆弱性を発見し、これらのAPIの多くがモデムの接続されたデバイスを照会するなどの管理機能を提供していたと説明している。攻撃者がHTTPリクエストを繰り返し再生することで、未承認のコマンドを実行できるという。

Curryは、この脆弱性を発見する過程で、自宅のネットワークでの作業中に、外部HTTPサーバーを利用してファイルを抽出する必要があるブラインドXML外部エンティティインジェクション(XXE)の脆弱性を悪用しようとした際に、予期せぬ挙動に気づいた。後に、CoxのバックエンドAPIに認証バイパスが存在することを「偶然」発見した。

Curryは2023年3月4日にこの脆弱性をCoxの責任ある開示プログラムを通じて報告し、翌日には修正された。Coxは、この脆弱性が攻撃者に悪用された履歴はないと彼に伝えた。しかし、Curryが最初に自身のモデムで経験した問題と、彼の調査を開始させたフィッシング関連のIPアドレスの関与は、最終的に発見された脆弱性とは無関係である可能性があり、依然として謎のままであると彼は指摘している。

【ニュース解説】

米国の大手ブロードバンドプロバイダーであるCox CommunicationsのインフラストラクチャにおけるAPI認証バイパスの脆弱性が発見され、この問題により数百万台のビジネス顧客のデバイスが攻撃にさらされるリスクがあったことが明らかになりました。この脆弱性を悪用すると、攻撃者はISPサポートチームと同等の権限を持ってデバイスにアクセスし、ビジネス顧客の個人識別情報(PII)、Wi-Fiパスワード、接続されたデバイスの情報を取得し、任意のコマンドを実行することが可能になります。

この脆弱性は、独立したバグ研究者であるSam Curryによって特定され、彼のブログ投稿で2023年6月3日に公開されました。Curryは、Coxのバックエンドインフラストラクチャに露出していた700以上のAPIを調査し、これらのAPIの多くが管理機能を提供していることを発見しました。特に、HTTPリクエストを繰り返し再生することで、未承認のコマンドを実行できるという脆弱性が存在していました。

Curryがこの脆弱性を発見する過程で、自宅のネットワークでの作業中に外部HTTPサーバーを利用してファイルを抽出する必要があるブラインドXML外部エンティティインジェクション(XXE)の脆弱性を悪用しようとした際に、予期せぬ挙動に気づいたことがきっかけでした。その後、CoxのバックエンドAPIに認証バイパスが存在することを「偶然」発見しました。

Curryはこの脆弱性を2023年3月4日にCoxの責任ある開示プログラムを通じて報告し、翌日には修正されました。Coxからは、この脆弱性が攻撃者に悪用された履歴はないとの情報が提供されました。しかし、Curryが最初に自身のモデムで経験した問題と、彼の調査を開始させたフィッシング関連のIPアドレスの関与は、最終的に発見された脆弱性とは無関係である可能性があり、依然として謎のままであると指摘しています。

この事件は、ビジネス顧客のデバイスのセキュリティが、どのようにして外部の脅威にさらされる可能性があるかを示す一例です。また、企業や組織が自身のインフラストラクチャを定期的に監査し、脆弱性を発見した際には迅速に対応することの重要性を浮き彫りにしています。このような脆弱性が悪用されることによって、企業の信頼性や顧客のプライバシーが脅かされる可能性があります。一方で、責任ある開示プログラムを通じた迅速な対応は、潜在的な被害を最小限に抑える上で効果的な手段であることを示しています。

from Cox Biz Auth-Bypass Bug Exposes Millions of Devices to Takeover.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 数百万台のビジネスデバイスが危機に!Cox CommunicationsのAPI脆弱性発覚