Hvis en angriber er i stand til at udføre kommandoer direkte på din router, kan han:
- Angreb på dit interne netværk og andre enheder, der er forbundet til det.
- Backdoor routeren og installere malware eller forbinde den til Mirai Botnet.
- Aflytte en brugers HTTP-trafik.
- Udfør kommandoer eksternt på din router som en
rootbruger. - Sluk ned eller genstart din enhed.
- Styv dine Wi-Fi-netværksoplysninger sammen med netværkets SSID (navn).
Angrebsoverfladen er stor nok til at gøre skade på en masse private brugere og virksomheder. Jeg vil beskrive nogle af disse scenarier i detaljer for at vise dig, hvor farlig denne sårbarhed er.
En hvilken som helst angriber er i stand til at udstede en kommando på din router som en root bruger uden din viden. Det sker på gennemsigtig vis, du skal blot besøge et ondsindet websted. Hvis du ikke overvåger dine udgående forbindelser, er det ikke muligt at opdage denne form for aktivitet uden de ekstra værktøjer.
Den enkleste nyttelast til at genstarte routeren hos en person, der besøger dit websted:
Kode udføres, når billedet indlæses fra den eksterne server (din router). Det giver ikke mulighed for at få svarindholdet, men kun udløse en kommando eksternt.
Læsning af data eksternt fra din router
Afgivelse af en fjernkommando er ikke kompliceret, da det ikke kræver at få svarindholdet tilbage til angriberen. Det er ikke muligt at modtage et svar tilbage på grund af begrænsningerne i Same-Origin Policy (SOP).
Samme-Origin Policy er en sikkerhedsmodel for både browsere og plugins, der arbejder i en browser (dvs. Java, Flash eller Silverlight). Hovedformålet med denne funktionalitet er at blokere adgangen til indholdet på et websted fra et andet websted.
Access til webstedsindholdet gives afhængigt af den oprindelse, der er angivet for begge websteder. Sandhedstabellen for oprindelser ser således ud:
* – Portnummer indgår ikke i “oprindelse”-komponenten af IE/Edge-browsere (mere).
Hvis webstedet “A” ikke har samme oprindelse som webstedet “B”, betyder det, at vi ikke kan læse indholdet af et websted “B” fra “A” og tilbage. Vi antager, at CORS (Cross-Origin Resource Sharing) ikke er aktiveret for nogen server, hvilket er sandt for standardkonfigurationen.
Routerenheden har ikke samme oprindelse som angriberens websted. Ikke desto mindre kan angriberen opnå denne kommunikation med teknikker til omgåelse af Same-Origin-politikken. Der var endda sårbarheder i selve SOP-mekanismen:
- CVE-2015-7188 – Trailing whitespace in IP address hostnames can bypass same-origin policy.
- CVE-2016-1967 – Overtrædelse af Same-origin-politikken ved hjælp af performance.getEntries og historiknavigation med sessiongendannelse.
- CVE-2016-1949 – Overtrædelse af samme-origin-politik ved brug af Service Workers med plugins.
Det er muligt at omgå Same-Origin Policy ved at udnytte en sårbar browser/plugin eller ved at bruge den teknik, der kaldes DNS Rebinding.
DNS Rebinding-angreb
DNS Rebinding-angreb gør det muligt at læse data fra en anden oprindelse uden om Same-Origin Policy-mekanismen. I det mest grundlæggende scenarie er det muligt at udskifte DNS-posten (“A”) for et domæne, mens brugeren besøger det skadelige websted.
Hvis dette angreb lykkedes, er angriberen i stand til at læse ethvert svar fra en kommando, der udføres på fjernrouteren ( 192.168.1.1).
Følsomme data på routerens side
Angrebsmanden er nu i stand til at læse det eksterne indhold fra din router. Han kan udsende en nvram show-kommando, som indeholder alle konfigurationsindstillinger for din router som:
Nævnte kommando returnerer en masse følsomme data. Angriberen er ikke kun i stand til at læse data fra routeren, men han kan også indstille nye værdier for disse indstillinger. Det betyder, at han er i stand til at:
- Ændre din Wi-Fi-adgangskode.
- Tænde fjernstyring (netgear.com – dokumentation).
- Desaktivere firewall.
- Oprette VPN til den ønskede placering.
- opdatere nvram-indstillinger, det vil indlæse gemte indstillinger efter genstart af enheden (
nvram set http_passwd=test; nvram commit). - …og meget mere.
Hvordan beskytter man sig mod den slags angreb?
Der er ingen enkelt nem metode til at beskytte sig mod alle varianter af dette angreb. Jeg vil anbefale at deaktivere httpd-dæmonen på routeren og blokere alle indgående forbindelser til dit LAN fra internettet.
Beskyt mod DNS Rebinding-angreb.
Den standardbeskyttelsesmekanisme på serversiden er at kontrollere Host-headeren. I et standardscenarie, når din browser opretter forbindelse til facebook.com, sender den Host: facebook.com-headeren.
Hvis der er et DNS Rebinding-angreb på plads, og brugeren besøger attacker.com, som forsøger at udnytte SOP-mekanismen, opretter browseren forbindelse til facebook.com og sender Host: attacker.com-headeren. Hvis serveren er konfigureret korrekt, bør den blokere denne anmodning, da Host-headeren ikke passer til den oprindelige anmodning.
Netgear-routeren blokerer ikke forbindelsen, selv om Host-headeren er ugyldig, og derfor lykkes dette angreb, hvilket gælder for de fleste routere.
Blokér forbindelse til dit LAN fra internettet.
Den nemmeste metode er at blokere ALLE forbindelser fra internettet til dit lokale netværk. Det vil blokere enhver form for kommunikation fra browseren til dine lokale enheder som router og andre computere.
For alle, der arbejder på Mac OS X, er det muligt at installere programmet Little Snitch, som er i stand til at begrænse adgangen til definerede undernet eller specifikke IP-adresser for hvert program eller systemproces.
Fixing this issue will not only protect you against this exploitation technique but also against future threats based on the DNS Rebinding attack.