Wenn ein Angreifer in der Lage ist, Befehle direkt auf Ihrem Router auszuführen, kann er:
- Ihr internes Netzwerk und andere damit verbundene Geräte angreifen.
- Backdoor des Routers, um Malware zu installieren oder ihn mit dem Mirai-Botnet zu verbinden.
- HTTP-Datenverkehr eines Benutzers abhören.
- Aus der Ferne Befehle auf dem Router als
rootBenutzer ausführen. - Das Gerät herunterfahren oder neu starten.
- Die Anmeldedaten für das Wi-Fi-Netzwerk zusammen mit der Netzwerk-SSID (Name) ausspähen.
Die Angriffsfläche ist groß genug, um vielen Privatanwendern und Unternehmen zu schaden. Ich beschreibe einige dieser Szenarien im Detail, um Ihnen zu zeigen, wie gefährlich diese Schwachstelle ist.
Ein beliebiger Angreifer ist in der Lage, ohne Ihr Wissen als root Benutzer einen Befehl auf Ihrem Router auszuführen. Dies geschieht auf transparente Weise, Sie müssen nur eine bösartige Website besuchen. Wenn Sie Ihre ausgehenden Verbindungen nicht überwachen, ist es ohne zusätzliche Tools nicht möglich, diese Art von Aktivität zu erkennen.
Die einfachste Nutzlast, um den Router einer Person, die Ihre Website besucht, neu zu starten:
Der Code wird ausgeführt, wenn das Bild von einem externen Server (Ihrem Router) geladen wird. Es ist nicht möglich, den Inhalt der Antwort zu erhalten, sondern nur einen Befehl aus der Ferne auszulösen.
Daten aus der Ferne von Ihrem Router lesen
Das Auslösen eines Fernbefehls ist nicht kompliziert, da es nicht erforderlich ist, den Inhalt der Antwort an den Angreifer zurückzubekommen. Der Empfang einer Antwort ist aufgrund der Einschränkungen der Same-Origin-Policy (SOP) nicht möglich.
Die Same-Origin-Policy ist ein Sicherheitsmodell sowohl für Browser als auch für Plugins, die in einem Browser arbeiten (z. B. Java, Flash oder Silverlight). Der Hauptzweck dieser Funktion besteht darin, den Zugriff auf den Inhalt einer Website von einer anderen Website aus zu blockieren.
Der Zugriff auf den Inhalt der Website wird in Abhängigkeit von der Herkunft gewährt, die für beide Websites angegeben ist. Die Wahrheitstabelle für die Herkunft sieht wie folgt aus:
* – Die Portnummer wird von IE/Edge-Browsern nicht in die Komponente „Herkunft“ aufgenommen (mehr).
Wenn die Website „A“ nicht den gleichen Ursprung hat wie die Website „B“, dann bedeutet dies, dass wir den Inhalt einer Website „B“ nicht von „A“ und zurück lesen können. Wir gehen davon aus, dass das Cross-Origin Resource Sharing (CORS) für keinen Server aktiviert ist, was bei der Standardkonfiguration der Fall ist.
Das Router-Gerät hat nicht denselben Ursprung wie die Website des Angreifers. Dennoch kann der Angreifer diese Kommunikation mit Techniken zur Umgehung der Same-Origin-Richtlinie erreichen. Es gab sogar Schwachstellen im SOP-Mechanismus selbst:
- CVE-2015-7188 – Nachfolgende Leerzeichen in Hostnamen von IP-Adressen können die Same-Origin-Richtlinie umgehen.
- CVE-2016-1967 – Verletzung der Same-Origin-Policy durch performance.getEntries und History-Navigation mit Session Restore.
- CVE-2016-1949 – Verletzung der Richtlinie gleichen Ursprungs unter Verwendung von Service Workers mit Plugins.
Die Umgehung der Same-Origin-Policy ist durch die Ausnutzung eines anfälligen Browsers/Plugins oder durch die Verwendung der Technik namens DNS Rebinding möglich.
DNS Rebinding-Angriff
DNS Rebinding-Angriff ermöglicht das Lesen von Daten von einem anderen Ursprung unter Umgehung des Same-Origin-Policy-Mechanismus. Im einfachsten Fall ist es möglich, den DNS-Eintrag („A“) einer Domain zu ersetzen, während der Benutzer die bösartige Website besucht.
Wenn dieser Angriff erfolgreich war, ist der Angreifer in der Lage, jede Antwort von einem auf dem entfernten Router ausgeführten Befehl zu lesen ( 192.168.1.1).
Sensible Daten auf der Routerseite
Der Angreifer ist nun in der Lage, den Remote-Inhalt von Ihrem Router zu lesen. Er kann einen nvram show-Befehl ausgeben, der alle Konfigurationseinstellungen Ihres Routers enthält, wie z.B.:
Der erwähnte Befehl liefert eine Menge sensibler Daten. Der Angreifer ist nicht nur in der Lage, Daten aus dem Router auszulesen, sondern kann auch neue Werte für diese Einstellungen festlegen. Das bedeutet, dass er in der Lage ist:
- das Wi-Fi-Passwort zu ändern.
- Remote-Management einschalten (netgear.com – Dokumentation).
- Firewall deaktivieren.
- VPN zum gewünschten Standort einrichten.
- Nvram-Einstellungen aktualisieren, nach dem Neustart des Gerätes werden die gespeicherten Einstellungen geladen (
nvram set http_passwd=test; nvram commit). - …und vieles mehr.
Wie kann man sich gegen diese Art von Angriffen schützen?
Es gibt keine einfache Methode, sich gegen alle Varianten dieses Angriffs zu schützen. Ich würde empfehlen, den httpd-Daemon auf dem Router zu deaktivieren und alle eingehenden Verbindungen zu Ihrem LAN aus dem Internet zu blockieren.
Schutz vor DNS-Rebinding-Angriffen.
Der Standardschutzmechanismus auf der Serverseite ist die Überprüfung des Host-Headers. In einem Standardszenario, wenn Ihr Browser eine Verbindung zu facebook.com herstellt, sendet er den Host: facebook.com-Header.
Wenn es einen DNS-Rebinding-Angriff gibt und der Benutzer attacker.com besucht, der versucht, den SOP-Mechanismus auszunutzen, verbindet sich der Browser mit facebook.com und sendet den Host: attacker.com-Header. Wenn der Server richtig konfiguriert ist, sollte er diese Anfrage blockieren, da der Host-Header nicht mit der ursprünglichen Anfrage übereinstimmt.
Der Netgear-Router blockiert die Verbindung nicht, auch wenn der Host-Header ungültig ist, und daher ist dieser Angriff erfolgreich, was für die meisten Router zutrifft.
Blockieren Sie die Verbindung zu Ihrem LAN aus dem Internet.
Die einfachste Methode ist, ALLE Verbindungen vom Internet zu Ihrem lokalen Netzwerk zu blockieren. Es wird jede Art von Kommunikation vom Browser zu Ihren lokalen Geräten wie Router und anderen Computern blockiert.
Für alle, die mit Mac OS X arbeiten, ist es möglich, die Anwendung Little Snitch zu installieren, die den Zugriff auf definierte Subnetze oder bestimmte IP-Adressen für jede Anwendung oder jeden Systemprozess beschränken kann.
Die Behebung dieses Problems wird Sie nicht nur vor dieser Ausnutzungstechnik schützen, sondern auch vor zukünftigen Bedrohungen, die auf dem DNS-Rebinding-Angriff basieren.