If the attacker can be performed commands directly on your router:

• Attack your internal network and other devices connected to it.
• Backdoor it installing malware or connecting it to Mirai Botnet.
• Eavesdrop on your user HTTP traffic.もし、攻撃があなたの家庭用コンピューター ルーターに対して直接コマンドを使用できるなら、次のことが可能です：

  ルアーが、そのようなデバイスに接続されている。

• ルーター上でrootユーザーとしてリモートでコマンドを実行する。
• デバイスをシャットダウンまたは再起動する。
• ネットワークのSSID（名前）と共にWi-Fiネットワークの認証情報を盗む。

攻撃対象は多くのホームユーザーや企業にとって害となるような大きなものである。

どのような攻撃者も、rootユーザーとして、あなたの知らないうちにルーター上でコマンドを発行することができます。 これは透過的に行われ、あなたは悪意のあるウェブサイトを訪問する必要があるだけです。 発信接続を監視していない場合、追加のツールなしではこの種のアクティビティを検出することはできません。

あなたの Web サイトを訪問した人のルーターを再起動する最も簡単なペイロード：

外部サーバー（あなたのルーター）から画像がロードされると、コードが実行されます。

ルーターからリモートでデータを読み取る

リモートコマンドの発行は、攻撃者に応答内容を返す必要がないため、複雑ではありません。 応答を受信することは、Same-Origin Policy (SOP) の制限により不可能です。

Same-Origin Policy は、ブラウザとブラウザで動作するプラグイン (Java, Flash または Silverlight など) の両方に対するセキュリティ モデルです。 この機能の主な目的は、別の Web サイトからある Web サイトのコンテンツへのアクセスをブロックすることです。

Webサイトのコンテンツへのアクセスは、それらの両方に対して指定されたオリジンに応じて許可されます。 オリジンの真理値表は次のようになります:

* – IE/Edge ブラウザでポート番号もオリジンの構成要素として含まない (more).

ウェブサイト「A」がウェブサイト「B」と同じオリジンを持たない場合、ウェブサイト「B」のコンテンツを「A」から読み取って戻ることはできないことを意味します。 ここでは、Cross-Origin Resource Sharing (CORS) がどのサーバーでも有効になっていないと仮定していますが、これはデフォルトの構成でも同じです。

ルーター デバイスは攻撃者の Web サイトと同じオリジンを持ちません。 それでも攻撃者は、Same-Originポリシーを迂回する技術でその通信を実現することができます。 SOPの仕組み自体に脆弱性があったこともあります：

• CVE-2015-7188 – IPアドレスのホスト名における末尾のホワイトスペースがSame-Originポリシーをバイパスする可能性があります。
• CVE-2016-1967 – performance.getEntriesおよびセッションリストアによる履歴ナビゲーションを使用した同一生成元ポリシー違反。
• CVE-2016-1949 – プラグインでサービスワーカーを使用すると、同一生成元ポリシー違反が発生します。

セイムオリジン ポリシーの回避は、脆弱なブラウザ/プラグインを悪用するか、DNS Rebindingという技術を使用することで可能です。

DNS Rebinding attack

DNS Rebinding attackでは、セイムオリジン ポリシーの仕組みをバイパスして別の起源からデータを読み取ることが可能です。 最も基本的なシナリオでは、ユーザーが悪意のあるWebサイトを訪問している間に、ドメインのDNSレコード（「A」）を置き換えることが可能です。

この攻撃が成功すると、攻撃者はリモートルーター (192.168.1.1) で実行するコマンドから任意のレスポンスを読み取ることができるようになります。

ルーター側の機密データ

攻撃者は今、ルーターからリモート コンテンツを読み取ることができます。 彼は、ルーターのすべての構成設定を保持するnvram showコマンドを発行できます。

上記のコマンドは、多くの機密データを返します。 攻撃者は、ルーターからデータを読み取ることができるだけでなく、これらの設定に新しい値を設定することができます。 つまり、次のことが可能です:

• Change your Wi-Fi password.
• Turn On remote management (netgear.com – documentation).
• Disable firewall.
• Setup VPN to his desired location.Netgear.com Setup VPN for your Wi-Fi password.
• nvram 設定を更新し、デバイスの再起動後に保存した設定を読み込む (nvram set http_passwd=test; nvram commit).
• …and more.

How to protect against those kind of attacks?

There is no single easy method to protect all variants of this attacks. ルーターでhttpdデーモンを無効にし、インターネットからLANへのすべての着信をブロックすることをお勧めします。

DNS Rebinding攻撃からの保護

サーバー側の標準保護メカニズムは、Hostヘッダーをチェックすることです。 標準的なシナリオでは、ブラウザが facebook.com に接続すると、Host: facebook.com ヘッダーが送信されます。

DNS Rebinding 攻撃が実施されている場合、ユーザーが SOP の仕組みを悪用しようとする attacker.com を訪問すると、ブラウザは facebook.com に接続し、Host: attacker.com ヘッダーを送信します。

Netgear ルーターは、Host ヘッダーが無効であっても接続をブロックしないため、この攻撃は成功します。

インターネットから LAN への接続をブロックする。

最も簡単な方法は、インターネットからローカル ネットワークへのすべての接続をブロックすることです。

Mac OS X で作業するすべての人に、すべてのアプリケーションまたはシステム プロセスに対して定義したサブネットまたは特定の IP アドレスにアクセスを制限することができる Little Snitch アプリケーションをインストールすることが可能です。

この問題を修正することは、この悪用テクニックから保護するだけでなく、DNS Rebinding 攻撃に基づく将来の脅威からも保護することができます。