Om en angripare kan utföra kommandon direkt på routern kan han:
- Angripa ditt interna nätverk och andra enheter som är anslutna till det.
- Bakdörrar till routern för att installera skadlig kod eller ansluta den till Mirai-botnätet.
- Tjuvlyssna på en användares HTTP-trafik.
- Exekvera kommandon på routern på distans som en
root-användare. - Släpp ner eller starta om enheten.
- Slå ut dina autentiseringsuppgifter till Wi-Fi-nätverket tillsammans med nätverkets SSID (namn).
Angreppsytan är tillräckligt stor för att göra skada på en hel del hemanvändare och företag. Jag ska beskriva några av dessa scenarier i detalj för att visa hur farlig den här sårbarheten är.
En angripare kan utfärda ett kommando på din router som en root-användare utan din vetskap. Det sker på ett transparent sätt, du behöver bara besöka en skadlig webbplats. Om du inte övervakar dina utgående anslutningar är det inte möjligt att upptäcka den här typen av aktivitet utan extra verktyg.
Den enklaste nyttolasten för att starta om routern hos en person som besöker din webbplats:
Kod exekveras när bilden laddas från den externa servern (din router). Den gör det inte möjligt att få svarsinnehållet utan endast utlösa ett kommando på distans.
Läsning av data på distans från din router
Att utlösa ett fjärrkommando är inte komplicerat eftersom det inte kräver att få svarsinnehållet tillbaka till angriparen. Att få ett svar tillbaka är inte möjligt på grund av SOP-begränsningarna (Same-Origin Policy).
Samma ursprungspolicyn är en säkerhetsmodell för både webbläsare och insticksprogram som arbetar i en webbläsare (t.ex. Java, Flash eller Silverlight). Huvudsyftet med denna funktionalitet är att blockera åtkomsten till innehållet på en webbplats från en annan webbplats.
Access till webbplatsens innehåll beviljas beroende på vilket ursprung som anges för båda webbplatserna. Sanningstabellen för ursprung ser ut på följande sätt:
* – Portnumret inkluderas inte i komponenten ”ursprung” i IE/Edge-browserna (mer).
Om webbplatsen ”A” inte har samma ursprung som webbplatsen ”B” innebär det att vi inte kan läsa innehållet på webbplatsen ”B” från ”A” och tillbaka. Vi antar att Cross-Origin Resource Sharing (CORS) inte är aktiverat för någon server, vilket är sant för standardkonfigurationen.
Router-enheten har inte samma ursprung som angriparens webbplats. Ändå kan angriparen uppnå den kommunikationen med tekniker för att kringgå policyn för samma ursprung. Det fanns till och med sårbarheter i själva SOP-mekanismen:
- CVE-2015-7188 – Efterföljande vitrymder i värdnamn för IP-adresser kan kringgå same-origin policy.
- CVE-2016-1967 – Brott mot policyn för samma ursprung med hjälp av performance.getEntries och historiknavigering med sessionsåterställning.
- CVE-2016-1949 – Överträdelse av principen om samma ursprung vid användning av Service Workers med plugins.
Överträdelse av Same-Origin Policy är möjlig genom att utnyttja sårbara webbläsare/plugin eller genom att använda den teknik som kallas DNS Rebinding.
DNS Rebinding-attack
DNS Rebinding-attack gör det möjligt att läsa data från ett annat ursprung genom att kringgå Same-Origin Policy-mekanismen. I det mest grundläggande scenariot är det möjligt att ersätta DNS-posten (”A”) för en domän medan användaren besöker den skadliga webbplatsen.
Om attacken lyckades kan angriparen läsa alla svar från ett kommando som utförts på fjärrroutern ( 192.168.1.1).
Känsliga data på routerns sida
Anfallaren kan nu läsa fjärrinnehållet från din router. Han kan utfärda ett nvram show-kommando som innehåller alla konfigurationsinställningar för din router som:
Nämnda kommando returnerar en hel del känsliga data. Angriparen kan inte bara läsa data från routern utan han kan också ställa in nya värden för dessa inställningar. Det innebär att han kan:
- Ändra ditt Wi-Fi-lösenord.
- Slå på fjärrhantering (netgear.com – dokumentation).
- Disaktivera brandväggen.
- Sätt upp VPN till önskad plats.
- Uppdatera nvram-inställningar, det kommer att ladda sparade inställningar efter omstart av enheten (
nvram set http_passwd=test; nvram commit). - …och mycket mer.
Hur skyddar man sig mot den här typen av attacker?
Det finns ingen enkel enkel metod för att skydda sig mot alla varianter av denna attack. Jag skulle rekommendera att inaktivera httpd daemon på routern och blockera alla inkommande anslutningar till ditt LAN från Internet.
Beskydda mot DNS Rebinding-attack.
Den vanliga skyddsmekanismen på serversidan är att kontrollera Host-huvudet. I ett standardscenario när webbläsaren ansluter till facebook.com skickas Host: facebook.com header.
Om det finns en DNS Rebinding-attack och användaren besöker attacker.com som försöker utnyttja SOP-mekanismen ansluter webbläsaren till facebook.com och skickar Host: attacker.com header. Om servern är korrekt konfigurerad bör den blockera denna begäran eftersom Host-huvudet inte stämmer överens med den ursprungliga begäran.
Netgear-routern blockerar inte anslutningen även om Host-huvudet är ogiltigt och därför lyckas attacken, vilket gäller för de flesta routrar.
Blocka anslutningen till ditt LAN från Internet.
Den enklaste metoden är att blockera ALLA anslutningar från Internet till ditt lokala nätverk. Det kommer att blockera all slags kommunikation från webbläsaren till dina lokala enheter som router och andra datorer.
För alla som arbetar med Mac OS X är det möjligt att installera programmet Little Snitch som har förmågan att begränsa åtkomsten till definierade undernät eller specifika IP-adresser för varje program eller systemprocess.
Om du åtgärdar detta problem kommer du inte bara att skydda dig mot denna exploateringsteknik utan även mot framtida hot baserade på DNS Rebinding-attacken.