9:34
19/7/2010

Przechwycenie i przekierowanie ruchu z domowych sieci, dostęp do lokalnych komputerów — na takie zabawy wg firmy Seismic pozwalają miliony domowych routerów produkowanych przez firmy takie jak Linksys, D-Link, Belkin, Netgear. Przed atakiem nie uchowają się również routery pracujące pod kontrolą popularnego, open-sourcowego i darmowego firmware’u: DD-WRT oraz OpenWRT.

Lista routerów podatnych na atak

Szczegóły dotyczące podatności na atak oraz exploit proof-of-concept zostaną zaprezentowane podczas nadchodzącej konferencji Black Hat (przy okazji, nie zasponsorowałby nam ktoś wyjazdu na tę konferencję? :>). Zaprezentuje je firma Seismic w prezentacji pt. “How to Hack Millions of Routers“.

Urwiemy milionom od internetu

Nie czekając na termin wystąpienia, hackerzy z Seismica zaprezentowali listę podatnych na taka routerów (YES pod koniec wiersza oznacza, że udało im się dostać do konfiguracji routera).

    ActionTec MI424-WR Rev. C 4.0.16.1.56.0.10.11.6 YES
    ActionTec MI424-WR Rev. D 4.0.16.1.56.0.10.11.6 YES
    ActionTec GT704-WG N/A 3.20.3.3.5.0.9.2.9 YES
    ActionTec GT701-WG E 3.60.2.0.6.3 YES
    Asus WL-520gU N/A N/A YES
    Belkin F5D7230-4 2000 4.05.03 YES
    Belkin F5D7230-4 6000 N/A NO
    Belkin F5D7234-4 N/A 5.00.12 NO
    Belkin F5D8233-4v3 3000 3.01.10 NO
    Belkin F5D6231-4 1 2.00.002 NO
    D-Link DI-524 C1 3.23 NO
    D-Link DI-624 N/A 2.50DDM NO
    D-Link DIR-628 A2 1.22NA NO
    D-Link DIR-320 A1 1 NO
    D-Link DIR-655 A1 1.30EA NO
    DD-WRT N/A N/A v24 YES
    Dell TrueMobile 2300 N/A 5.1.1.6 YES
    Linksys BEFW11S4 1 1.37.2 YES
    Linksys BEFSR41 4.3 2.00.02 YES
    Linksys WRT54G3G-ST N/A N/A YES
    Linksys WRT54G2 N/A N/A NO
    Linksys WRT160N 1.1 1.02.2 YES
    Linksys WRT54G 3 3.03.9 YES
    Linksys WRT54G 5 1.00.4 NO
    Linksys WRT54GL N/A N/A YES
    Netgear WGR614 9 N/A NO
    Netgear WNR834B 2 2.1.13_2.1.13NA NO
    OpenWRT N/A N/A Kamikaze r16206 YES
    PFSense N/A N/A 1.2.3-RC3 YES
    Thomson ST585 6sl 6.2.2.29.2 YES

DNS Rebinding

Jak na razie nie znamy szczegółów ataku, wiemy jedynie, że atak wykorzystuje DNS rebinding aby ominąć oraniczenia przeglądarek odnośnie odpalania skryptów w kontekście danej strony (tzw. Same Orgin Policy).

W atakach DNS rebinding atakujący ma pod kontrolą zarówno serwer DNS, z którego korzysta ofiara jak i samą stronę, na którą ofiara jest kierowana. Za każdym razem kiedy ofiara odwiedza stronę, serwer DNS jest aktualizowany tak, aby podczas kolejnego zapytania o domenę strony WWW zwracał również adres IP należący do ofiary.

Dzięki DNS rebinding przeglądarka zaczyna traktować “podstawione” przez atakującego adresy IP (w szczególności te z lokalnej sieci ofiary) jako należące do aktualnej “domeny”. Podstawione na stronie skrypty mogą wtedy swobodnie “buszować” po LAN-ie ofiary, w którym zazwyczaj wystawiony jest interface administracyjny domowego routera.

Jak się chronić?

Domowym routerom można oczywiście zmienić hasło, chociaż większość użytkowników, ku uciesze Chucka Norrisa zostawia domyślne hasła. Niestety, nawet po zmianie hasła, niektóre z routerów dalej pozwalają na dostęp do swoich panelów zarządzania. Jak? Poprzez luki i błędy w ich oprogramowaniu — ostatnio opisywaliśmy taką lukę w D-Linkach). Poza tym, nie oszukujmy się, upgrade firmware’u na routerze (zwłaszcza kupionym kilka lat temu) to operacja poza możliwościami większości (amerkańskich :>) internautów…

Zmiana adresu IP na mniej przewidywalny niż 10.0.0.1 czy 192.168.0.1 też może być dobrym pomysłem (aczkowiek atakujący może uciec się do wykorzystania skanerów sieci napisanych w JavaScript).

Dobra, jesteśmy na routerze, co dalej?

Atakujący nie będzie psuł połączenia z internetem (co oczywiście dałoby mu +100 punktów do gimnazjalnego lansu) — rozsądniej będzie po cichu zmienić adres serwera DNS, który w ramach DHCP dostaje wasz domowy komputer od routera. Dzięki temu atakujący może was podsłuchiwać, phishingować, albo po prostu przekierować na goatse (NSFW!), kiedy w przeglądarce wpiszecie np. mbank.pl (czasem, obserwując to co się dzieje z mbankiem, mam wrażenie, że takie przekierowanie byłoby jak najbardziej na miejscu…).

Ataki DNS rebinding znane są od mniej więcej 15 lat. Java i Flash próbują się przed nimi bronić cache’ując odpowiedzi DNS-a. Przeglądarki internetowe też cośtam próbują robić w tym kierunku, ale wg firmy Seismic ich wariant ataku DNS Rebinding omija te zabezpieczenia.

No cóż, na PoC musimy poczekać do tegorocznego Black Hata — ale jeśli tytuł przezentacji nie jest “przesadzony” to będzie się działo… To jak, jest ktoś chętny na zasponsorowanie nam podróży do USA? :>

Przeczytaj także:



21 komentarzy

Dodaj komentarz
  1. Jak będę duży i bogaty to bardzo chętnie z tym sponsoringiem – a ile trzeba mieć dziengów aby sie tam wkopyrtnąć …?

  2. Hmmm… “między wierszami” można wyczytać, że znowu chodzi o jakieś domyślne hasła. Ale nawet jeśli.. to mam kilka pytań:
    – wiele routerów domyślnie ma tak ustawiony firewall, że nie przyjmuje on żadnych, przychodzących połączeń na porcie WAN,
    – teraz… jeśli sama sieć WiFi jest zabezpieczona WPA2 z dobrym kluczem, to przez nią też nie da się połączyć z panelem konfiguracyjnym routera, to:

    Jak niby ten cracker ma się dobrać do momentu, w którym będzie mógł wpisać hasło do panelu, nawet, jeśli zna to hasło? Przez lokalny Ethernet bez fizycznego wtargnięcia do lokalu? Nie wierzę.

  3. O Tomato nie ma mowy czy mam się czuć bezpieczniej? Jakoś nie bardzo się czuję ;/

  4. No.. jesli używa podmiany JS do ataków – to chyba JS wykona się na przeglądarce admina… A to ile jest wirusów do zainstalowania shella poprzez skrypt JS na komputerze, to chyba nie muszę pisać? Zresztą nawet nie wiem ile – z pewnością palców u rąk by mi zabrakło.

  5. A mi sie znowu upieklo. Zadnego z moich modeli nie ma na liscie…

    Andrzej

  6. No mojego modelu (WRT54GC) też nie ma na liście, ale są dwa podobne, WRT54G3G-ST i WRT54G2. Powinienem czuć się zagrożony?

  7. Pragnalbym wspomniec o tym, ze juz od dluzszego czasu po aktualizacji softu dd-wrt wpierw musimy ustawic login i haslo, zanim bedziemy mieli dostepem do panelu administracyjnego – oznacza to, ze w przypadku dd-wrt nie ma czegos takiego jak domyslny login i haslo.

  8. @up “w przypadku dd-wrt nie ma czegos takiego jak domyslny login i haslo.”
    Jak to nie? A “admin” + “dupa8”?:D

  9. Czyli jak wpisuje adresy DNS ręcznie na komputerze, nic wielkiego mi nie grozi?

    • dwyw: to zależy jakie możliwości ma Twój router i czy atakującemu uda się na niego wsiąść ;-)

  10. Hehe znowu problemy z interfejsem webowym :)

    A pamietam jak ponad dekade temu pierwsza rzecza jaka byla robiona na sprzecie sieciowym to wylaczenie interfejsu webowego :)
    I konczyly sie problemy z bezpieczenstwem ( no wiekszosc oczywiscie).

    P.S.
    moj linksys mimo iz z openwrt jest bezpieczny. httpd wylaczony z kilka lat temu :)

    Ale jak musi byc kolorowo i animowanie to takie sa efekty :(

  11. Troszkę przesadzony ten news jeśli tylko chodzi o to, że da się dostać z LANu, bo tak naprawdę to bardziej atak na/przez przeglądarkę. Być może w grę wchodzą nie tylko domyślne hasła, ale także zapamiętane? Tak nawiasem, czy z poziomu JS (przeglądarki w ogólności) da się pobrać IP bramy?

    W przypadku części routerów (np. WRT54GL) prawdopodobnie można się skutecznie zabezpieczyć. Jeśli łączymy się tylko przez wifi, wystarczy wyłączyć dostęp do zarządzania po wifi (i w razie potrzeby zmiany konfiguracji łączyć się kabelkiem).

    • @rozie: przypuszczam, że 90% ataków to próba dodawania na siłę popularnych ipków dla gw (10.0.0.1/192.168.0.1). Poza tym, nie tylko HTTP wchodzi w grę, ale i np. UPnP — Seismic przyznał się, że za wiele innowacji w ich odkryciach nie ma, ale za to zebrali wszystkie “obejścia” same orgin policy i trochę je ulepszyli. Ja obstawiam, że coś ciekawego jednak pokażą ;)

  12. Nie ma na liście żadnego Edimaxa, co mnie pociesza, choć do mojego rutera ostatni soft wyszedł w marcu 2008. A wracając do kwestii softu jedynym wyjściem jest automatyczny update softu z serwera firmy i wymuszanie ustawienia bezpiecznego hasła i przypominanie np. na emaila o potrzebie okresowej zmiany. Skoro np. dekoder satelitarny czy kablowy sam aktualizuje soft (w dekoderze UPC nie ma nawet opcji sprawdzania aktualności softu, najwyraźniej uznano że te rzeczy nie są sprawa klienta, na szczęście jest możliwość resetowania i wymuszenia sprawdzenia aktualności softu), to dlaczego ruter tego nie potrafi. Zrzucenie aktualizacji na barki użytkownika nie jest najlepszą strategią bo wiele osób, poza pasjonatami i geekami, nie zdaje sobie sprawy z potrzeby aktualizacji i na dodatek boi się uszkodzenia sprzętu. Wiele osób najzwyczajniej nie wie tez jak zaktualizować soft, dlatego powinien aktualizować się sam. Skoro platformy telewizyjne uznały, ze większość ludzi nie zdawałaby sobie sprawy z konieczności aktualizacji softu i same takowe aktualizacje proponują, to tak samo powinni zrobić producenci ruterów i operatorzy telekomunikacyjni, którzy je oferują

    PS
    Ciekawe jak wygląda sprawa z firmware i softami modemów na USB? Też nie każdy ma odwagę aktualizować soft w modemie.

  13. @Paweł Nyczaj
    Moim zdanie automatyczna aktualizacja powinna być tylko opcją, bo przecież często stosuje się taktykę aktualizowania dopiero po jakimś czasie od wyjścia czytając czy nie ma błędów.

    Jak mam stary soft z błędami to są one przeważnie już dobrze opisane więc mogę sobie z nimi poradzić(przynajmniej z częścią), nowy soft to zawsze niewiadoma i nowe nieopisane błędy.

  14. Ludzie przestańcie panikować, nawet jeśli dostaną dostęp do interfejsu rutera to muszą znać hasło !! A jeśli nie zmieniliście standardowego no to cóż… die!

    • @Oskar: Seismic mówi nie tylko o korzystaniu z domyślnych haseł ale i o wykorzystywaniu błędów w oprogramowaniu routerów. W drugim przypadku nawet najbardziej l33t hasło nic ci nie da…

  15. I znow wiadomosci ktore przerazaja zwyklych szarych uzyszkodnikow i rzucaja ich w ramiona kochanego “Systemu” ktory ich uratuje z opresji… Nie zarzucam tez manipulacji userami Niebezpiecznikowi. Chlopaki tylko przekazuja rzetelne dane co z reszta nie raz zwracalo nasza uwage jak np afera AT&T i Apple… “Apple hacked” < fail…

    Anyway… Skype shaczony – nieprawda – tak jak napisali chlopcy radarowcy z Niebezpiecznika czesciowo poznany… wystarczy zeby developerzy skype'a poszaleli troche – pozmieniali kod… i znow zaczynamy zabawe w rev… itd. itp. Poza tym jedyne co tak naprawde zyskuje koles ktory poznal kod skype to to w jaki sposob kliencki soft laczy sie z serwerem. Co mozna z tym zrobic? Mozna zrobic wlasna kliencka wersje Skype. Przed tym glownie chronilo zagmatwanie kodu. Przed klonami… zeby nie zaatakowaly :). Klon skype'a nadal musialby podlegac prawom serwera wiec musialby byc tak samo bezpieczny – mam na mysli szyfrowanie rozmow i chata. Czy moznaby to jakos zepsuc? Pewnie tak… Mozna by dodac buga wysylajacego haslo do konta na gmailu… mozna by zalozyc wlasny serwer nasladujacy serwer skype… i co? Za jakis czas skype zaktualizowany i po problemie…

    Tak naprawde te "wielkie problemy" sa dla zwyklego uzytkownika raczej nieosiagalne… Kilku sie sparzy. Reszta w panice poleci robic upgrade softu czy to na routerze czy skype czy "Windows Patch Tuesday"… I wlasnie o to im chodzi…

    Biegnij w panice do korporacji! Dobrze ze jest "XXXXXXXX" oni nas naprawia… Chwala korporacji! I tak do nastepnej wpadki… A jak ludzie przestana byc mili dla korporacji "XYZ" to znow sie cos spsuje… A jedyny klucz do naprawy babola bedzie w rekach? "XYZ" itd. itp.

    Zaleznosc od "Systemu"… Manipulowane wiadomosci nastawione na "Straszenie" uzyszkodnika… Narzedzia do sterowania "niewolnikami".

    Otwarty umysl to jest to co liczy sie najbardziej.

    Od jakiegos czasu slucham podcastu "SecurityNow" gdzie dwoch panow Leo Laporte i Steve Gibson z GRC.com rozmawiaja na tematy zwiazane z bezpieczenstwem… Ci kolesie sa naprawde obcykani z tematem… Polecam ich tym dla ktorych jezyk Angielski nie jest jezykiem obcym jako dodatek do naszego Niebezpiecznika.

    Naprawde warto.

    Pozdrawiam Kolektyw.

    Andrzej

    P.S. Jesli z powyzszego posta nic nie wynika… to znaczy ze znow wpadlem w rezonans / rozpisalem sie i stracilem watek :). Sie zdarza. Dokoncze rant kiedy indziej ;).

  16. Tak jak wyżej ktoś pisał, rozumiem że nawet w przypadku modeli podatnych na atak dotyczy to tylko tych z oryginalnym softem :D Tomato załatwia tą sprawę ? Zresztą warto chyba również wyłączyć możliwość edytowania softu routera z poziomu wifi

  17. Heh, po komentarzach widzę jaką cenę trzeba płacić za “popularny” serwis o bezpieczeństwie. Takie rzeczy powinny się wykluczać.
    A co do samego ataku -> konieczność kontroli witryny na którą wchodzi użytkownik i serwera DNS (już w tym momencie można bardzo łatwo podstawić mbank), to już jest spore utrudnienie, ciężko będzie powerusera wrobić w niepewny serwer DNS i skrypty na niezaufanej stronie (w to łatwiej, ale teraz jest moda na noscript itp.), a jeżeli uda nam się dns podrobić po maninthemiddle to i tak samo to pozwala już na bardzo wiele. Cóż ciekawe, ale na pewno ten atak nie będzie powszechny.

    • @anon: wszystko jest kompromisem — przy pół miliona czytelników nie sądzę, że wszyscy zajmują się zawodowo itsec.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: