Browserele pot fi folosite pentru deturnarea routerelor

hijack-routers

Cercetatorii au descoperit recent un instrument Web de atac folosit special pentru exploatarea vulnerabilitatilor din routere, avand ca scop deturnarea DNS-urilor.

Astfel infractorii cibernetici au dezvoltat un instrument de atac bazat pe Web, cu ajutorul caruia reusesc sa deturneze routere pe scara larga atunci cand utilizatorii viziteaza site-uri compromise sau vizualizeaza reclame malitioase in browser. Scopul acestor atacuri este de a inlocui DNS-ul (Domain Name System) configurat pe routere cu alte DNS-uri controlate de atacatori. Acest lucru permite infractorilor sa intercepteze traficul, sa imite site-uri, sa deturneze interogarile de cautare, sa injecteze anunturi de tip rogue si altele.

DNS-ul are un rol extrem de important si joaca un rol critic in structura Internetului, acesta avand rolul de a transforma numele domeniului care este usor de retinut pentru oameni, in adrese IP (Internet Protocol), adrese prin care computerele stiu sa comunice unul cu celalalt.

DNS-ul lucreaza intr-o maniera ierarhica. Atunci cand un utilizator tasteaza o adresa web in browser, acesta interogheaza sistemul de operare pentru a afla adresa IP a acelui site. Apoi sistemul de operare interogheaza routerul care mai departe trimite interogari catre serverele DNS ale ISP-ului. Operatiunile continua pana cand cererile ajung la un server cu autoritate pentru numele de domeniu in cauza sau pana la un server care poate furniza informatia necesara din cache. Daca in acest lant atacatorii reusesc sa intervina, atunci pot sa raspunda cu o adresa IP falsa si sa deturneze utilizatorul catre un site clona sau fantoma si astfel pot fura credentialele utilizatorilor.

Astfel, Kafeine, unul din cei mai cunoscuti cercetatori independenti in domeniul securitatii Web, a descoperit recent mai multe atacuri lansate pe o serie de site-uri compromise care redirectionau utilizatorii catre un kit-Web malitios, conceput special pentru a compromite routerele.

Prin astfel de atacuri, infractorii reusesc sa injecteze cod malitios in site-urile compromise, redirectionand browserul catre un server de atac care determina locatia geografica, IP-ul, sistemul de operare, tipul browserului, pluginurile instalate si alte detalii tehnice. Apoi pe baza acestor date culese, serverul lanseaza atacurile pentru care a fost programat.

Atacurile descoperite recent de Kafeine, deturnau utilizatorii Chrome catre un server malware care incarca cod malitios conceput pentru a determina modelele de routere folosite de utilizatori si a le putea inlocui serverele de DNS.

Desi majoritatea utilizatorilor cred ca daca routerele lor nu sunt concepute pentru management de la distanta, infractorii nu pot avea acces la interfata de administare a routerului, trebuie sa stie ca acest lucru este fals. Astfel de atacuri sunt posibile printr-o tehnica numita CSRF (Cross-Site Request Forgery), care permite unui site web malitios sa forteze browserul unui utilizator sa execute actiuni de tip rogue pe un alt site. Site-ul tinta poate fi chiar interfata routerului care este dealtfel accesibila doar prin reteaua locala.

Multe site-uri de pe Internet au implementata o protectie impotriva CSRF, insa din nefericire, majoritatea routerelor nu au o astfel de protectie. Noul kit-Web malitios descoperit de Kafeine, foloseste tehnica CSRF pentru a detecta peste 40 de modele de routere de la producatori cu greutate in domeniu precum D-Link, Edimax, Linksys, Asustek, Belkin, Medialink, Microsoft, Netgear, Shenzhen Tenda, TP-Link, Netis, Trendnet, ZyXEL si HooToo.

In functie de modelul detectat, instrumentul de atac incearca sa schimbe setarile DNS ale routerului, prin exploatarea vulnerabilitatilor cunoscute sau utilizand credentiale administrative comune. De asemenea este folosita si tehnica CSRF.

Daca atacul are succes, serverul DNS primar al routerului poate fi controlat de atacatori, iar cel secundar este folosit ca back-up si setat catre DNS-ul public al motorului de cautare Google. Astfel, daca serverul DNS primar are probleme, routerul va beneficia in continuare de un DNS functional, astfel incat utilizatorul nu va avea niciun motiv sa devina suspicios.

Kafeine declara ca atacurile se desfasoare pe scara larga si ca in prima parte a lunii Mai au fost vizati peste 250.000 de utilizatori zilnic, cu un varf de aproape 1 milion de utilizatori pe data de 9 Mai. Tarile mai afectate au fost SUA, Rusia, Australia, Brazilia si India, insa atacurile se intind pe o arie mult mai mare.

Pentru a se proteja, utilizatorii ar trebui sa verifice periodic site-urile producatorilor de routere si sa efectueze periodic actualizari de firmware atunci cand acestea sunt disponibile si mai ales daca acestea contin remedieri din punct de vedere al securitatii. De asemenea, daca routerul permite, utilizatorul ar fi bine sa restrictioneze accesul la interfata routerului printr-un IP pe care acesta nu-l foloseste in mod normal, dar care poate fi asignat din calculator atunci cand are nevoie sa intervina in interfata pentru a face unele schimbari.

Sursa

De asemenea, ai putea dori...