セキュリティ研究者のSam Curry氏は6月3日(米国時間)、「Hacking Millions of Modems (and Investigating Who Hacked My Modem)」において、米国のケーブルテレビプロバイダー「Cox Communications」がインターネット回線加入者に貸し出している無線LANルータのリモート管理インタフェースに脆弱性が存在したと伝えた。これは、同社のすべての顧客が危険にさらされたことを意味しており、数百万のルータが侵害の危機にさらされていたことになる。

  • Hacking Millions of Modems (and Investigating Who Hacked My Modem)

    Hacking Millions of Modems (and Investigating Who Hacked My Modem)

Sam Curry氏が経験した侵害

Sam Curry氏は3年前、セキュリティ関連作業を行うため外部に簡単なHTTP(Hypertext Transfer Protocol)サーバを立ち上げ、通信ログを確認していた。すると自身がアクセスした正常なログの直後に外部のIPアドレスから同じURLへのアクセスログが記録され、侵害の可能性に気づいたという。

宅内の他のデバイスなどからアクセスしても同様のログが記録されたことから、攻撃者は何らかの目的で通信を傍受してアクセスをリプレイしたとみられている。Sam Curry氏は友人の協力を得てログに記録された攻撃者のIPアドレスを調査し、それがフィッシングサイトやメールサーバのドメインと一致することを確認している。

Sam Curry氏は攻撃者がどこで通信を傍受しているのか確認するため、いくつかの通信経路を検証。その結果、Cox Communicationsから貸し出された無線LANルータに原因があることを突き止めた。

侵害されたデバイスが判明したため、Sam Curry氏は速やかにルータの電源を抜いて被害の拡大を防止。しかし、このままではインターネットに接続できないため、Cox Communicationsに機器の交換を申請した。交換には侵害された古いルータを引き渡す必要があり、調査はここで一旦打ち切りとなった。

調査の再開

侵害の事案から3年後の2024年初め頃、Sam Curry氏は友人の引っ越しを手伝い、Cox Communicationsのルータを設置する作業を実施した。このとき、Cox CommunicationsのオペレーターがリモートからWi-Fiパスワードを含むルータの設定を変更したことを確認。Sam Curry氏はCox Communicationsのルータにリモート管理機能があることを知り、この機能に興味を持ち調査を再開。

Cox Communicationsの無線LANルータに搭載されたリモート管理機能は「テクニカルレポート069(TR-069)」と呼ばれる顧客宅内機器のリモート管理およびプロビジョニングのためのアプリケーション層プロトコルを実装したもの。内部ではCPE WAN Management Protocol(CWMP)を使用する。

調査対象は企業向けにリモート管理機能を提供するCox Communicationsのビジネスポータルサイト。このポータルサイトからは約700のアプリケーション・プログラミング・インターフェイス(API: Application Programming Interface)が提供されている。

Sam Curry氏はポータルサイトのアカウントを持っていなかったため、公開されているAPIの調査から開始した。そしてAPIの応答を調べているうちに、リクエストを再実行するだけでAPIの認証を回避できるという重大な不具合を発見した。また、顧客情報の検索、デバイス情報の取得、アカウント情報の取得も簡単にできることを確認した。

ただ、肝心のデバイス設定の変更には複数の情報を暗号化した署名を必要とすることが判明した。暗号化および復号の関数はJavaScriptで実装されており誰でも利用可能であったが、署名に必要な情報の収集に課題が残った。しかしながら、実験の結果、MACアドレスだけ正確であれば他の情報はデタラメでも問題ないことが判明した。

以上を総合すると、認証されていないリモートの攻撃者は、顧客情報を検索し、顧客情報からデバイス情報、アカウント情報を収集するだけで標的のデバイス設定を変更できることになる。Sam Curry氏はこの手順を使用して自身のルータのSSIDを変更することに成功している。

対策

Sam Curry氏は2024年3月4日、Cox Communicationsに脆弱性を報告した。Cox Communicationsは報告を受け、3月5日までに脆弱性を修正した。

なお、今回確認された脆弱性は3年前の侵害とは関係ないという。今回調査対象となったリモート管理機能は2023年から提供されており、3年前には存在していなかった。そのため、当時の侵害経路は不明のままとなっている。

この事案はインターネットサービスプロバイダー(ISP: Internet Service Provider)のシステムに脆弱性が存在し、すべての顧客が危険にさらされたことを意味している。カスタマーサポートのために同様のシステムを採用しているプロバイダーは多いとみられるが、このような問題を回避するためにAPIのセキュリティテストを実施し、セキュリティ脆弱性の有無を定期的に検査することが望まれている。