Miliony domowych routerów podatne na atak DNS rebinding

Sierpień może być bardzo nieprzyjemnym miesiącem dla internautów korzystających z routerów Wi-Fi. Pod koniec tego miesiąca na konferencji BlackHat w Las Vegas grupa badaczy pokaże prezentację pt. „How to Hack Millions of Routers”, dotyczącą podatności w wielu popularnych modelach routerów, także tych, w których zainstalowano alternatywny firmware w rodzaju DD-WRT czy OpenWRT.

Odkrycie jest dziełem amerykańskiej firmy Seismic. Craig Heffner, jej czołowy badacz, przedstawić ma podczas konferencji Black Hat zarówno szczegóły znalezionej luki, jak i narzędzie do automatycznego jej exploitowania.

Na razie wiadomo jedynie tyle, że atak wykorzystuje technikę znaną jako DNS rebinding, aby obejść zabezpieczenia przeglądarek, związane z ograniczaniem uprawnień skryptów. W ataku tego typu, napastnik stara się przejąć zarówno witrynę jak i serwer DNS używany do rozwiązania jej domeny. Gdy się to uda, to za każdym razem, gdy ofiara odwiedzi stronę internetową, serwer DNS jest aktualizowany tak, by wskazywał na jej adres IP, jako jeden z adresów IP witryny.

Pozwala to na całkowite ominięcie polityki bezpieczeństwa „same origin” – czyli ograniczenia możliwości uruchamiania skryptów tylko do tych, które pochodzą z oryginalnej witryny. Normalnie przeglądarka nie pozwala JavaScriptowemu kodowi na manipulowanie stronami, które nie są w tej samej domenie co hostujący go serwer. DNS rebinding pozwala jednak napastnikowi „przekonać” przeglądarkę, że dowolna wybrana przez niego maszyna należy do tej samej domeny co strona zawierająca złośliwe oprogramowanie. Tworząc wpisy DNS dla komputerów w sieci lokalnej ofiary, atakujący umożliwia przeglądarce ofiary na dostęp do nich.

Normalnie nie jest to problemem – większość domowych maszyn nie uruchamia webserwerów. Za jednym wyjątkiem. Routery bardzo często uruchamiają serwery WWW, udostępniając w tej postaci panel sterowania. Panele takie są oczywiście zabezpieczone hasłem, dziwnym trafem jednak u wielu użytkowników para login-hasło to „admin-admin”. Napastnik w tym momencie może zrekonfigurować ustawienia routera, tak by np. przekierowywać wszystkie zapytania DNS przez wrogi serwer. Daje to oczywiście pełne pole popisu dla phisherów i właścicieli botnetów.

Przeglądarki zawierają zabezpieczenia przeciwko rebindingowi DNS, jednak Heffner twierdzi, że jego forma ataku bez problemu je obchodzi. Co więcej, obejścia te nie są zbyt innowacyjne, znano je od lat – on zaś jedynie połączył ze sobą kilka skutecznych technik.

Jedynym rozwiązaniem problemu jest aktualizacja firmware'u routerów i stosowanie mocnych haseł. Według badacza zarówno producenci przeglądarek, jak i routerów, mieli dość czasu, by zapoznać się z problemem – nie zrobili jednak nic. Wydanie exploitu ma zmusić ich do reakcji.

Póki co, z listą narażonych na atak routerów można zapoznać się tutaj. Są wśród nich popularne modele od Linksysa, Asusa i Belkina – czołowych producentów sprzętu tego typu.

Źródło: ArsTechnica.com

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

3 skomentuj »

Polecamy

Reklama

Komentarze

#1 Usher 2010-07-20 02:30:09 0
Pod podanym linkiem jest arkusz z listą przetestowanych routerów, a nie tylko routerów narażonych. W szczególności routery D-Linka i Netgear okazały się niepodatne na atak, jak na to wskazuje przeczenie w ostatniej kolumnie artusza.

Andrzej P. Wozniak
IP: 80.50.127.[...] Mozilla/5.0 (Windows; U; Windows NT 5.0; pl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 GTB7.1
#2 GTriderXC^® 2010-07-20 09:05:42 -1
Kolejny artykuł na poziomie z serii "wielkie halo"...:/ Pokaż komentarz
IP: 178.56.28.[...] Mozilla/5.0 (X11; U; Linux i686; pl-PL; rv:1.9.2.6) Gecko/20100628 Ubuntu/10.04 (lucid) Firefox/3.6.6
#3 Kenjiro 2010-07-21 13:24:20 0
Atak 'wielka porażka' - opiera się na znanych hasłach do routerków... jeśli ktoś pozostawia domyślne hasło, to jest narażony na znacznie gorsze konsekwencje niż tylko przejęcie przeglądarki i komputera wewnątrz sieci.
IP: 87.205.78.[...] Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.