Jos hyökkääjä pystyy suorittamaan komentoja suoraan reitittimessäsi, hän voi:
- Hyökkäillä sisäverkkoon ja muihin siihen kytkettyihin laitteisiin.
- Takaportoida reitittimen asentamalla siihen haittaohjelmia tai kytkemällä sen Mirai-botverkkoon.
- Kuuntelemaan käyttäjän HTTP-tietoja.
- Suorita komentoja etänä reitittimessä
root
-käyttäjänä. - Sammuta tai käynnistä laite uudelleen.
- Varasta Wi-Fi-verkon tunnukset yhdessä verkon SSID:n (nimi) kanssa.
Hyökkäyspinta-ala on tarpeeksi suuri, jotta se voi aiheuttaa vahinkoa monille kotikäyttäjille ja yrityksille. Kuvaan joitakin näistä skenaarioista yksityiskohtaisesti osoittaakseni, kuinka vaarallinen tämä haavoittuvuus on.
Kuka tahansa hyökkääjä voi antaa komennon reitittimellesi root
-käyttäjänä tietämättäsi. Se tapahtuu läpinäkyvästi, sinun tarvitsee vain vierailla haitallisella verkkosivustolla. Jos et valvo lähteviä yhteyksiäsi, tällaista toimintaa ei ole mahdollista havaita ilman lisätyökaluja.
Yksinkertaisin hyötykuorma verkkosivustollasi vierailevan henkilön reitittimen uudelleenkäynnistämiseen:
Koodi suoritetaan, kun kuva ladataan ulkoiselta palvelimelta (reitittimeltäsi). Se ei salli vastaussisällön saamista, vaan ainoastaan komennon laukaisemisen etänä.
Datan lukeminen etänä reitittimestäsi
Etäkomennon laukaiseminen ei ole monimutkaista, koska se ei vaadi vastaussisällön saamista takaisin hyökkääjälle. Vastauksen takaisin saaminen ei ole mahdollista Same-Origin Policy (SOP) -rajoitusten vuoksi.
Same-Origin Policy on turvallisuusmalli sekä selaimille että selaimessa toimiville lisäosille (esim. Java, Flash tai Silverlight). Tämän toiminnallisuuden päätarkoituksena on estää pääsy yhden verkkosivuston sisältöön toiselta verkkosivustolta.
Käyttöoikeus verkkosivuston sisältöön myönnetään sen mukaan, mikä alkuperä on määritetty molemmille verkkosivustoille. Alkuperän totuustaulukko näyttää seuraavalta:
* – Portin numeroa ei sisällytetä ”alkuperä”-komponenttiin IE- ja Edge-selaimissa (lisää).
Jos verkkosivustolla ”A” ei ole samaa alkuperää kuin verkkosivustolla ”B”, se tarkoittaa, että emme voi lukea verkkosivuston ”B” sisältöä ”A:sta” ja takaisin. Oletamme, että CORS (Cross-Origin Resource Sharing) ei ole käytössä millään palvelimella, mikä on totta oletuskonfiguraatiossa.
Router-laitteella ei ole samaa alkuperää kuin hyökkääjän verkkosivustolla. Hyökkääjä voi kuitenkin saavuttaa tämän viestinnän tekniikoilla, joilla ohitetaan Same-Origin -käytäntö. Itse SOP-mekanismissa oli jopa haavoittuvuuksia:
- CVE-2015-7188 – IP-osoitteiden isäntänimien perässä olevat välilyönnit voivat ohittaa same-origin-käytännön.
- CVE-2016-1967 – Same-origin policy -käytännön rikkominen käyttämällä performance.getEntries-käytäntöä ja historian navigointia istunnon palauttamisen kanssa.
- CVE-2016-1949 – Same-origin policy -käytännön rikkominen käyttämällä Service Workers -palveluja liitännäisten kanssa.
Same-Origin Policy -käytännön ohittaminen on mahdollista hyödyntämällä haavoittuvaa selainta/pluginia tai käyttämällä tekniikkaa nimeltä DNS Rebinding.
DNS Rebinding -hyökkäys
DNS Rebinding -hyökkäys mahdollistaa tietojen lukemisen toisesta alkuperästä Same-Origin Policy -mekanismin ohi. Yksinkertaisimmassa skenaariossa on mahdollista vaihtaa verkkotunnuksen DNS-tietue (”A”), kun käyttäjä vierailee haitallisella verkkosivustolla.
Jos tämä hyökkäys onnistui, hyökkääjä pystyy lukemaan minkä tahansa vastauksen komennosta, joka on suoritettu etäyhteydellä olevassa reitittimessä ( 192.168.1.1
).
Arkaluonteiset tiedot reitittimen puolella
Hyökkääjä pystyy nyt lukemaan etäyhteyden sisältöä reitittimestäsi. Hän voi antaa nvram show
-komennon, joka pitää sisällään kaikki reitittimesi konfiguraatioasetukset, kuten:
Esitetty komento palauttaa paljon arkaluonteisia tietoja. Hyökkääjä ei pysty ainoastaan lukemaan tietoja reitittimestä, vaan hän voi myös asettaa uusia arvoja näihin asetuksiin. Se tarkoittaa, että hän pystyy:
- Muuttamaan Wi-Fi-salasanan.
- Kytkemään etähallinnan päälle (netgear.com – dokumentaatio).
- Palomuurin poistaminen käytöstä.
- VPN:n määrittäminen haluamaansa paikkaan.
- Päivitä nvram-asetukset, se lataa tallennetut asetukset laitteen uudelleenkäynnistyksen jälkeen (
nvram set http_passwd=test; nvram commit
). - …ja paljon muuta.
Miten suojautua tällaisilta hyökkäyksiltä?
Ei ole olemassa yhtä helppoa menetelmää, jolla voi suojautua kaikilta hyökkäyksen muunnoksilta. Suosittelen poistamaan httpd
-demonin käytöstä reitittimessä ja estämään kaikki Internetistä lähiverkkoon saapuvat yhteydet.
Suojautuminen DNS Rebinding -hyökkäykseltä.
Palvelinpuolen vakiosuojausmekanismi on Host
-otsikon tarkistaminen. Normaalissa skenaariossa, kun selain muodostaa yhteyden facebook.com
:een, se lähettää Host: facebook.com
-otsikon.
Jos DNS Rebinding -hyökkäys on käytössä ja käyttäjä vierailee attacker.com
:ssa, joka yrittää hyödyntää SOP-mekanismia, selain muodostaa yhteyden facebook.com
:een ja lähettää Host: attacker.com
-otsikon. Jos palvelin on konfiguroitu oikein, sen pitäisi estää tämä pyyntö, koska Host
-otsake ei vastaa alkuperäistä pyyntöä.
Netgear-reititin ei estä yhteyttä, vaikka Host
-otsake on virheellinen, ja siksi tämä hyökkäys onnistuu, mikä pätee useimpiin reitittimiin.
Blokkaa yhteys lähiverkkoon Internetistä.
Helppoimmalla menetelmällä estät KAIKKI yhteydet Internetistä lähiverkkoosi. Se estää kaikenlaisen yhteydenpidon selaimesta paikallisiin laitteisiisi, kuten reitittimeen ja muihin tietokoneisiin.