Dacă un atacator este capabil să execute comenzi direct pe routerul dvs., el poate:
- Ataca rețeaua dvs. internă și alte dispozitive conectate la aceasta.
- Backdoor-ul routerului instalând malware sau conectându-l la Mirai Botnet.
- Ascultă traficul HTTP al unui utilizator.
- Executați comenzi de la distanță pe router ca utilizator
root. - Închideți sau reporniți dispozitivul.
- Furați acreditările rețelei Wi-Fi împreună cu SSID-ul (numele) rețelei.
Suprafața de atac este suficient de mare pentru a face rău multor utilizatori casnici și companii. Voi descrie câteva dintre aceste scenarii în detaliu pentru a vă arăta cât de periculoasă este această vulnerabilitate.
Carecineva poate emite o comandă pe routerul dvs. ca utilizator root fără știrea dvs. Se întâmplă în mod transparent, trebuie doar să vizitați un site web malițios. Dacă nu vă monitorizați conexiunile de ieșire, nu este posibil să detectați acest tip de activitate fără instrumente suplimentare.
Cea mai simplă sarcină utilă pentru a reporni routerul unei persoane care vă vizitează site-ul web:
Codul este executat atunci când imaginea este încărcată de pe serverul extern (routerul dvs.). Nu permite obținerea conținutului răspunsului, ci doar declanșarea unei comenzi de la distanță.
Citerea datelor de la distanță din routerul dumneavoastră
Întoarcerea unei comenzi de la distanță nu este complicată, deoarece nu necesită obținerea conținutului răspunsului înapoi către atacator. Primirea unui răspuns înapoi nu este posibilă din cauza restricțiilor politicii Same-Origin Policy (SOP).
Politica Same-Origin Policy este un model de securitate atât pentru browsere, cât și pentru plugin-urile care funcționează într-un browser (de exemplu, Java, Flash sau Silverlight). Scopul principal al acestei funcționalități este de a bloca accesul la conținutul unui site web de pe un alt site web.
Accesul la conținutul site-ului web este acordat în funcție de originea care este specificată pentru ambele. Tabelul de adevăr pentru origini arată după cum urmează:
* – Numărul portului nu este inclus în componenta „origine” de către browserele IE/Edge (mai mult).
Dacă site-ul „A” nu are aceeași origine ca și site-ul „B”, atunci înseamnă că nu putem citi conținutul unui site „B” din „A” și înapoi. Presupunem că Cross-Origin Resource Sharing (CORS) nu este activat pentru niciun server, ceea ce este adevărat pentru configurația implicită.
Dispozitivul routerului nu are aceeași origine cu site-ul web al atacatorului. Cu toate acestea, atacatorul poate realiza această comunicare cu ajutorul unor tehnici de ocolire a politicii Same-Origin. Au existat chiar și vulnerabilități în mecanismul SOP în sine:
- CVE-2015-7188 – Spațiile albe de urmărire în numele de gazdă ale adreselor IP pot ocoli politica Same-origin.
- CVE-2016-1967 – Încălcarea politicii Same-origin folosind performance.getEntries și navigarea în istoric cu restaurarea sesiunii.
- CVE-2016-1949 – Încălcarea politicii de aceeași origine utilizând Service Workers cu plugin-uri.
Depășirea politicii de aceeași origine este posibilă prin exploatarea unui browser/plugin vulnerabil sau prin utilizarea tehnicii numite DNS Rebinding.
Atac DNS Rebinding
Atac DNS Rebinding permite citirea datelor de la o altă origine ocolind mecanismul politicii de aceeași origine. În cel mai elementar scenariu, este posibilă înlocuirea înregistrării DNS („A”) a unui domeniu în timp ce utilizatorul vizitează site-ul web malițios.
În cazul în care acest atac a avut succes, atunci atacatorul este capabil să citească orice răspuns de la o comandă executată pe routerul de la distanță ( 192.168.1.1).
Date sensibile pe partea routerului
Atacatorul este acum capabil să citească conținutul de la distanță de pe router. El poate emite o comandă nvram show care deține toate setările de configurare ale routerului dvs. ca:
Comanda menționată returnează o mulțime de date sensibile. Atacatorul nu numai că este capabil să citească date de pe router, dar poate, de asemenea, să stabilească noi valori pentru aceste setări. Aceasta înseamnă că el este capabil să:
- Schimbă parola Wi-Fi.
- Activați managementul de la distanță (netgear.com – documentație).
- Dezactivați firewall.
- Configurați VPN către locația dorită de el.
- Actualizați setările nvram, se vor încărca setările salvate după repornirea dispozitivului (
nvram set http_passwd=test; nvram commit). - …și multe altele.
Cum să vă protejați împotriva acestor tipuri de atacuri?
Nu există o singură metodă ușoară de protecție împotriva tuturor variantelor acestui atac. V-aș recomanda să dezactivați daimonul httpd de pe router și să blocați toate conexiunile de intrare în LAN-ul dvs. de pe Internet.
Protejați-vă împotriva atacului DNS Rebinding.
Mecanismul standard de protecție pe partea serverului este de a verifica antetul Host. Într-un scenariu standard, atunci când browserul se conectează la facebook.com, atunci acesta trimite antetul Host: facebook.com.
Dacă există atacul DNS Rebinding și utilizatorul vizitează attacker.com care încearcă să exploateze mecanismul SOP, atunci browserul se conectează la facebook.com și trimite antetul Host: attacker.com. Dacă serverul este configurat corespunzător, atunci ar trebui să blocheze această cerere, deoarece antetul Host nu se potrivește cu cererea originală.
Routerul Netgear nu blochează conexiunea chiar dacă antetul Host nu este valid și, prin urmare, acest atac reușește, ceea ce este valabil pentru majoritatea routerelor.
Blocați conexiunea către LAN-ul dvs. de pe internet.
Cea mai simplă metodă este să blocați TOATE conexiunile de pe internet către rețeaua locală. Aceasta va bloca orice fel de comunicare de la Browser către dispozitivele dvs. locale, cum ar fi routerul și alte calculatoare.
Pentru toți cei care lucrează pe Mac OS X este posibilă instalarea aplicației Little Snitch, care este capabilă să restricționeze accesul la subrețele definite sau la adrese IP specifice pentru fiecare aplicație sau proces de sistem.
Corectarea acestei probleme vă va proteja nu numai împotriva acestei tehnici de exploatare, ci și împotriva amenințărilor viitoare bazate pe atacul DNS Rebinding.
.