Hírcsatornák:

A hét legnézettebb cikkei

Információk:

Biztonságunk záloga:

Média partnerek:

Ha már regisztrált felhasználó vagy, kattints ide!

Otthoni router-ek millióit veszélyezteti egy régi támadás új inkarnációja

Dátum: 2010-07-26   | Szerző: MaxRay

A néhány nap múlva kezdődő Black Hat biztonságtechnikai konferencián Craig Heffner bemutatja azt a hibát, mely számtalan router-ben jelen van és egyúttal egy demonstárciós programot is szabadon hozzáférhetővé kíván tenni, mellyel a gyakorlatban is kipróbálható lesz a támadás…

 

 

 


A világon több millió router van veszélyben egy hiba miatt, mely számos gyártó modelljeiben megtalálható. Craig Heffner kutató rájött, hogy a lassan 15 éves DNS rebinding (újrakötés) hiba révén hozzáférést lehet szerezni az otthoni router-ek egy igen komoly százalékához. A  támadható router típusok közt ActionTec, Belkin és Linksys modellek már biztosan vannak de az Asus WL-520gU is szerepel és pár más gyártó terméke. A Heffner által ellenőrzött D-Link modelleknél nem sikerült a támadás ám a lista korántsem teljes és más, esetleg régebbi modelleknél működhet a támadás.

 

Az eljárás során a támadónak rendelkeznie kell egy általa irányított weboldallal és egy DNS server-el, mely az oldalra irányítja a forgalmat. Minden alkalommal amikor egy látogató meglátogatja a kérdéses weboldalt a DNS server frissül és a látogató IP címét is felveszi a weboldal által használt saját IP címek közé. (A DNS rendszer lehetővé teszi, hogy egy webcím mögött, mint például a www.itextreme.hu több IP legyen, mely fontos hibatűrési és terhelés megosztási szempontokból, mivel így több server is képes szolgáltatni a egy oldalt, így ha az egyik kidől még mindig üzemképes maradhat a webalp.) Ahogy a fent említett művelet lezajlik a böngészők egy JavaScript futását meghatározó biztonsági szabálya hatályon kívül helyeződik, mivel a támadó elhiteti az áldozat böngészőjével, hogy a számítógép amin fut az ugyanahhoz a weboldalhoz tartozik, melyhez elég egy megfelelő DNS bejegyzés a saját DNS serverén.

 

Így a támadó képes kijátszani a web böngészőt és hozzáférése lesz az áldozat számítógépéhez. A legtöbb otthoni gépen azonban nem fut webserver így ez elsőre talán nem tűnhet hasznosnak azonban egy otthoni eszközön állandó jelleggel fut egy. Ez az eszköz pedig nem más mint a router, melyek rendszerint futtatnak egyet, melyen keresztül adminisztratív funkciók érhetők el a belső hálózatról. Ezek az adminisztratív oldalak rendszerint jelszóval védettek, ám sokan nem „bajlódnak” a gyári jelszó megváltoztatásával és még igen akkor is előfordulhat, hogy a jelszót megkerüljék. A router-hez való hozzáférést követően viszont már szabad útja van a támadónak, és akár a teljes internet forgalmunkat átirányíthatja egy köztes serverre ahol a forgalom figyelhető és elfogható.

 

Craig Heffner a Black Hat konferencián „How to Hack Millions of Routers" című előadásában fogja ismertetni az konkrét eljárást és egy software eszközt is elérhetővé tesz, mellyel a gyakorlatban is demonstrálható lesz a sérülékenység. Heffner-nek ezzel az a szándéka, hogy a gyártókat gyors firmware frissítésre sarkalja, hogy kijavítsák a hibákat router-eikben.

 

Amíg nem lesz minden eszközhöz megfelelő frissítés a legjobb védekezés, ha az alapértelmezett router jelszót megváltoztatjuk. Ez az analógia igaz minden esetben, vagyis az alapértelmezett jelszót mindig, az eszköz első használata során cseréljük le! Ez legalább az alap támadások ellen védelmet nyújthat.

 

Az eddig tesztelt modellek: Link