Cox 存在API 身份验证绕过漏洞，影响数百万台调制解调器

文章预览

最近，Cox Communications修复了一个授权绕过漏洞，该漏洞允许远程攻击者滥用暴露的后端api来重置Cox调制解调器的设置并窃取客户的敏感个人信息。据悉，该漏洞影响到了数百万Cox提供的调制调节器。 Cox是美国最大的私人宽带公司，通过光纤网络为30多个州的近700万家庭和企业提供互联网、电视和电话服务。 此次的 Cox安全漏洞是由赏金猎人Sam Curry发现的。他发现一旦威胁行为者成功利用该漏洞，就能够获取到与ISP技术支持类似的一组权限。 攻击者可以利用这一访问权限，通过存在漏洞的 Cox API 访问数百万台 Cox 设备，覆盖配置设置并在设备上执行命令。 举例来说，通过利用这个身份验证绕过漏洞，恶意行为者可以通过暴露的 API，使用 Cox 客户的姓名、电话号码、电子邮件地址或账号查找他们并窃取他们的个人身份信息（PII），包括 MAC 地址、电子 ………………………………