neprihlásený Štvrtok, 29. októbra 2020, dnes má meniny Klára
Masívny útok na domáce routery neprístupné z Internetu, cez prehliadač Chrome

Značky: routeryútokyChrome

DSL.sk, 26.5.2015


Bezpečnostný expert s prezývkou Kaffeine cez víkend informoval o odhalení masívneho útoku na množstvo modelov domácich routerov.

Útok

Útok intenzívny najmä v prvej polovici mája je pritom realizovaný na routery bez ohľadu na to, či ich administrátorské rozhranie je prístupné z Internetu.

Kód realizujúci útok je totiž vložený do bližšie nešpecifikovaných webových stránok infikovaných útočníkmi a snaží sa na routery zaútočiť cez lokálnu sieť pomocou JavaScriptu pri zobrazení týchto stránok v prehliadači užívateľa na jeho PC.

Útok sa snaží identifikovať model routeru podľa zverejnených kódov zrejme len na niekoľkých typických lokálnych IP adresách ako 192.168.1.1, 192.168.0.1 a 192.168.2.1 a prístup do administrátorského rozhrania sa snaží získať odskúšaním štandardných hesiel pre jednotlivé modely routerov prípadne najčastejších jednoduchých hesiel ako password alebo 1234.

Následne sa útok snaží využitím CSRF zraniteľností, teda vykonaním aktívnych akcií načítaním URL z kontextu iných stránok otvorených v rovnakom prehliadači, zmeniť nastavenie používaných DNS serverov na routeri.

Ako primárny DNS server útok nastavuje server pod kontrolou útočníkov, čo im s minimálnym zásahom do routerov umožňuje podvrhovať IP adresy pre rozličné ciele útoku. Na aké ciele útočníci ďalej útočili zatiaľ bezpečnostný expert nezistil.


Krajiny užívateľov, ktorí sa stali terčom útoku, kliknite pre zväčšenie (obrázok: Kaffeine)



Zaujímavosťou útoku je, že sa aktivuje len pri zobrazení infikovaných stránok v prehliadači Chrome ale nie v Internet Exploreri a Firefoxe. Prečo sa útok zameriava len na Chrome nie je jasné.

Aké stránky boli infikované Kaffeine neinformuje. Najviac cieľov útoku bolo podľa zistení experta v USA, Rusku, Austrálii, Brazílii, pričom v niektorých dňoch v prvej polovici mája sa útok pokúšal útočiť na 500 tisíc až milión návštevníkov.

Zraniteľné routery

Útok podľa analýzy jeho zdrojových kódov útočí na viac ako 50 modelov najmä domácich sieťových routerov okrem iného značiek Asus, D-Link, TP-Link, Linksys, Netgear, Netis, Zyxel.

Terčom útokov sú okrem iného modely Asus AC68U, RTN56U, RTN10P, RTN66U, RT56-66-10-12, RTG32, D-Link DIR-600, DIR-604, DIR-645, DIR-810L, DIR-826L, DIR-615, DIR-651, DIR-601, WBR1310, D2760, DSLG604T, DIR-2740R, Belkin F5D7230-4, F5D8236-4V2, F9k1105V2, F5D7231-4, F5D7234-4, Linksys BEFW11S4 V4, L120, WRT54GSV7, BEFW11S4 V4, LWRT54GLV4, WRT54GV8, X3000, L000, Netgear DGN1000B, DG834v3, DGN2200, WNDR3400, DGN1000, DGN2200, WNR834Bv2, WPN824v3.

Odporúčania

Vzhľadom na akciu vykonávanú útokom je odporúčané užívateľom skontrolovať na ich routeri nastavenie DNS serverov, pričom štandardne väčšinou DNS servery nie sú nastavené napevno a preberajú sa od poskytovateľa pripojenia.

Útok za primárny DNS naopak nastavoval jednu z IP adries 217.12.202.93, 185.82.216.86 a 37.139.50.45.

Štandardným odporúčaním je samozrejme v žiadnom prípade nepoužívať na routeri ani iných sieťových zariadeniach štandardné prednastavené heslo a to ani v prípade, že administrátorské rozhranie routeru nie je prístupné z Internetu.

Tomuto konkrétnemu útoku by predišlo zrejme tiež nastavenie neštandardného IP adresného rozsahu lokálnej siete, napríklad 192.168.115.0/24.

Dôležité je tiež aktualizovať firmvér routerov na najnovší dostupný, hoci výrobcovia často opravujú chyby výrazne neskôr ako je to v prípade softvéru pre PC a nie výnimočne zostávajú aj známe chyby najmä v starších modeloch neopravené.


      Zdieľaj na Twitteri



Najnovšie články:

Intel avizuje výrazné zvýšenie výkonu 14-nm desktopových CPU
Prima v českom DVB-T zvýšila rozlíšenie na HD
Celé 6 GHz pásmo pre WiFi uvoľňuje aj Južná Kórea
Jarná verzia Windows 10 je už najpoužívanejšou
Orange má ďalší problém, zrejme nezvládol posun času
Netflix zrušil v USA bezplatné odskúšanie
Štart SpaceX s ľudskou posádkou má stanovený termín
Vydaná Fedora 33, prešla na Btrfs
Starlink spúšťa verejný beta test, avizuje rýchlosť 150 Mbps
Pozor, bonusový kredit v akcii Telekomu platí len mesiac


Diskusia:
                               
 

Na takychto routeroch menim standardne nielen heslo ale aj IP adresu. Uz boli aj take chyby v routroch, ktore umoznovali heslo obist alebo ho zistit. Zatial su tieto pokusy napevno na standardne IP, ale verim tomu, ze casom dospeju (ako virusy) a pomocou nejakej chyby v prehliadaci zistia aj DHCP-om priradeny gateway a pojdu po nom.
Odpovedať Známka: 6.0 Hodnotiť:
 

Aj ja som volakedy robil rozne zmeny defaultnych nastaveni, fixol wifi na WPA2 s AES okrem toho ze vsade bezi OpenWRT (pripadne stare dd-wrt) co byva bezpecnejsie nez povodny firmware.

Dnes je mi jasne ze to nema zmysel a cele WAP uz mam len na ztazenie pristupu nepovolanym, vyssia bezpecnost sa dosahuje len VPNkou a default gatewayom az z nej. V takomto pripade je jedno ze niekto ovladne domaci router/gateway, ak by aj podvrhol IPcku VPN servera, nebude sediet certifikat... A to ze sa da cleartext traffic buzerovat z DC je mi jasne, ale to by si uz niekto musel dat podstatne viac namahy.
Odpovedať Známka: -2.9 Hodnotiť:
 

Jessus... WAP nevstavaj z mrtvych. WPA pravdaze.
Odpovedať Známka: 8.5 Hodnotiť:
 

Si vo mne nostagiu vyvolal :))
Odpovedať Známka: 9.2 Hodnotiť:
 

Jasne, pravda.

Ja som vsak hovoril o beznych ludoch doma s internetom. Kam si on vytoci VPNku? OpenWRT nedam na vsetky gerety a hlavne nie ked ma niekto zariadenie v prenajme (Orange, Telekom Magio, ...), takze mi zostava bojovat s tym co mam.

Samozrejme WPA2 s AES je nutnost pri Wifi. Hlavne treba vypnut aj WPS alebo mat istotu, ze je fixnute na opakovane hadanie.

V najhorsom pripade, sa do routra vo firewalle zada jednoduche pravidlo, ze na vsetky jeho otvorene porty(staci zistit port scanom) zakazem pristup okrem jednej pevnej IP zvnutra, ktora je mimo DHCP rozsahu a v sieti sa nepouziva. Chces nastavit router? Nerobis to kazdy den, tak zmenis na chvilu IP a je to.
Odpovedať Známka: 8.9 Hodnotiť:
 

super nápad, akurát u mňa by to dopadlo tak, že na tú zmenenú IP by som si už v živote nespomenul
Odpovedať Známka: 9.0 Hodnotiť:
 

a ty vieš nájsť cestu domov??
Odpovedať Známka: 5.7 Hodnotiť:
 

keby som domov chodil raz za 3 roky tak by som s tým tiež mal problém
Odpovedať Známka: 9.0 Hodnotiť:
 

ako si nastavim vpnku vo win 8.1 _ vie mi niekto poradit aj servery alebo nejaku dobru vpn sluzbu ?

dakujem
Odpovedať Známka: 0.0 Hodnotiť:
 

nemas za co :)
Odpovedať Známka: 5.0 Hodnotiť:
 

Skús toto
Vpngate.net
Odpovedať Hodnotiť:
 

Nemusi vyuzit ani chybu v prehliadaci. Teoreticky by utocnikovi stacilo skusit cez javascript volat javu (ak ju mas povolenu) a cez nu potom zistit tvoju lokalnu ip adresu. Tym utocnik zisti v akom lokalnom ip priestore sa nachadza tvoj pc, co mu znacne zjednodusi hladanie tvojho routra na 254 moznosti (255 minus tvoja ip adresa ktoru uz pozna a vie ze to router nie je) a je to preto, lebo tvoj domaci router musi mat lokalnu ip adresu v tom istom ip priestore ako tvoj pc, cize tam pojde na istotu a potom jednoducho skriptom automaticky prejde vsetkych 254 adries v danom ip priestore a na kazdej skusi otvorit webove rozhranie routra, jedna z nich sa urcite chyti no a tam potom dalej pokracuje uz s nasadenim utoku samotneho.
Odpovedať Známka: 1.4 Hodnotiť:
 

Zalezi od masky podsiete..
Odpovedať Známka: 10.0 Hodnotiť:
 

Vcera som riesil jeden takyto pripad, na Airlive. Cloveku ukazuje potom stranku s policajnym varovanim.
Odpovedať Známka: 7.3 Hodnotiť:
 

nah policajny stat :-)
Odpovedať Známka: 9.1 Hodnotiť:
 

ja som nedavno riesil dva AirLive, oba rom-0 pozitivne, aktualizacia neexistuje... da sa to sice "osetrit" ale radsej sli do zberu elektroodpadu... skoda, ze dnes chce kazdy setrit aj na sietovych prvkoch, ktore sa im potom (v lepsom pripade len) kazia...
Odpovedať Známka: 8.2 Hodnotiť:
 

paranoja stojí moc peňazí ako vidím...ak je niečo rom0+ tak nie je dôvod zahodiť to preboha

Odpovedať Známka: 7.1 Hodnotiť:
 

uf stale tam mam chello DNS
Odpovedať Známka: 2.0 Hodnotiť:
 

Nepouzivam chrome, takze som v bezpeci
Odpovedať Známka: -0.8 Hodnotiť:
 

ak si jediny pouzivatel internetu, ktory ten router pouziva tak ano
Odpovedať Známka: 6.3 Hodnotiť:
 

Prave som to riesil u rodicov ale dns bol 63.neviem dalej. Heslo nebolo standardne...
Odpovedať Hodnotiť:
 

Este ze mam redirect DNS na hlavnom routry , tak mozu mat dalsie home routre nastavene akekolvek DNS aj tak pojdu cez moj DNS .
Odpovedať Známka: -2.0 Hodnotiť:
 

riesil som par tychto routrov v priebehu dvoch tyzdnov, vacsinou tplink adsl, pomohlo zmenit heslo na pristup a nastavit ACL na urcitu ip adresu z ktorej ako jedinej sa da nalogovat do routra. zatial to drzi, pokial som neaktivoval ACL, len zmenil heslo, routre mali o par dni zase zmenene DNS.
Odpovedať Známka: 7.1 Hodnotiť:
 

Riešil som tento problém v dvoch firmách. Mali zložité heslo, IP neboli štandardné a aj tak boli DNS zmenené. Nieje pravda že sa problém prejavoval len cez Chrome, problém sa týkal všetkých prehliadačov. Nešli stránky napr. www.google.sk, www.youtube.com... Namiesto toho sa otvorila stránka že v PC je zastaralý flash player a podobala sa na stránku ozajstného flash playera... Len pritom antivirak vyskakoval ako besný...
Odpovedať Známka: 7.1 Hodnotiť:
 

Na niektorych routeroch sa da jednoducho zistit heslo aj z internetu. Je tym padom jedno ako velmi je zlozite.
Pohladaj napriklad rom-0 zranitelnost alebo http://www.dsl.sk/article.php?article=15976
Je tam aj sposob ochrany.

Na inych routeroch sa heslo da obist. Staci vediet spravnu celu URL prikazu na nastavenie. Blby priklad:
http://192.168.1.1/Dhcp.htm/
?dnsserver=<IP>&dnsserver2=<IP>&Save=!
Odpovedať Známka: 10.0 Hodnotiť:
 

Mikrotik bez problemof..........
Odpovedať Známka: 3.3 Hodnotiť:
 

Pytas sa? Dufas? Alebo tvrdis?
Tiez ho totiz pouzivam :))
Odpovedať Známka: 5.0 Hodnotiť:
 

ja tam mam stale dns od providera takze mna to zatial tiez obchadza. navyse pokial cloveku staci winbox/ssh a nepotrebuje graphing tak staci vypnut web rozhranie (webfig je aj tak prd)
Odpovedať Hodnotiť:
 

Oznamuje...
Odpovedať Hodnotiť:
 

NAČO budem doma dávať adresu typu 192.168.0.1 ?? Dávam a aj mám 10.0.0.1. Mám to prehľadnejšie a ako vidím tak ešte aj bezpečnejšie. Akokeby som si doma nemohol nastaviť IP hocijake...
Odpovedať Známka: -5.0 Hodnotiť:
 

Minuly tyzden som presne toto riesil. Stale vyskakovali popup okna ze treba update flash playeru.. potom stale otvaralo stranky adcash.com a im podobne vyskusal som tri anti viry preinstal windowsu az ked som sa pripojil cez mobil a tam to iste mi to doslo..
Odpovedať Známka: 10.0 Hodnotiť:
 

Este doplnim ze ip som mal defaultnu 192.168.2.1 ale heslo do routra som mal svoje myslim ze celkom dobre.. router je edimax
Odpovedať Známka: 10.0 Hodnotiť:
 

pfsense a uz nikdy nic ine.
Odpovedať Hodnotiť:
 

z mojej praxe:
80 - 90% enduserov ani nevedia kde a aky maju router.
Pouzivaju vacsinou default set.
Z pristupov vedia max. heslo na wifi a ani netusia, ze na tu krabicku z antenkou sa da nalogovat.
Ak problem, tak tel. hotline = Power on/off.
O com tu tocite? no coment................
Odpovedať Známka: 3.3 Hodnotiť:
 

Budem hadat 80 - 90% z tych userov ma ochlpenie na 90% svojho tela a skace po stromoch.
Odpovedať Známka: 5.0 Hodnotiť:
 

To s ochlpením nič nemá :D Chalan má náhodou pravdu, včera som sa "hádal" s vlastnou rodinou, keď krstnej nešiel doma net (len kvôli búrke) ale na WiFi ju to prihlásilo do siete, takže z jej úvahy vyšlo že je čosi špatné s Wifi a nie s Internetom samotným.

Poviem jej nech vyskúša net na bratrancovom desktope, ktorý je pripojený káblom, tak sa začne somnou naťahovať, že aj ten je pripojený cez WiFi, lebo ide do tej istej krabičky.

Sumárum ? Router = WiFi = Sieť = Internet
Bežní ľudia tieto veci do seba nedokážu rozlíšiť, resp. ako povedal chalan pred tebou, netušia že existujú a že sa s nimi dá pracovať.
Odpovedať Známka: 10.0 Hodnotiť:
 

Mne sa nik nedostane do routra ani do pc, pri dverach je vlciak :), vypovedna hodnota clanku je taka ista.
Odpovedať Známka: -10.0 Hodnotiť:

Pridať komentár