'Miljoenen routers kwetsbaar voor aanval via dns-rebinding'

Een beveiligingsonderzoeker heeft in populaire routers een lek gevonden dat het mogelijk maakt om via dns-rebinding aanvallen uit te voeren. Door de publiciteit te zoeken zou hij routerfabrikanten aanzetten om het probleem te verhelpen.

Onder de titel How to Hack Millions of Routers geeft Craig Heffne, medewerker van beveiligingsfirma Seismic, op de Black Hat-conferentie eind deze maand in Las Vegas een lezing. De onderzoeker stelt dat een aantal populaire routers kwetsbaar is voor een variant op een al vaker beproefde aanvalsmethode, de zogeheten dns-rebinding-methode. De routers worden verkocht door onder andere Linksys en Netgear.

Het same origin policy-mechanisme moet verhinderen dat scripts, geschreven in bijvoorbeeld javascript, ook pagina's kunnen benaderen die buiten het oorspronkelijke domein vallen. Bij dns-rebinding kan een aanvaller dit beveiligingsmechanisme van browsers echter omzeilen door een dns-server te manipuleren.

De door Seismic ontwikkelde dns-rebinding-aanval zou vooral effectief zijn bij routers die nog zijn voorzien van een standaardwachtwoord, omdat de ingebouwde webserver die de instellingenschermen toont, kan worden gemanipuleerd. Zo zijn de ip-adressen van de dns-servers te veranderen naar die van een kwaadaardige server. Hierdoor kan malware worden geïnstalleerd of is dataverkeer af te luisteren.

Er is een lijst vrijgegeven met geteste routers, waarvan ongeveer de helft kwetsbaar blijkt voor de aanvalsmethode. Daarbij zou het niet uitmaken of de originele firmware of alternatieve firmware zoals OpenWRT of DD-WRT wordt gebruikt, zo schrijft ArsTechnica. Op Black Hat zal ook een proof of concept worden uitgebracht. Heffne stelt dat hij na lang wachten de kwetsbaarheid toch heeft geopenbaard om routerfabrikanten te dwingen om het probleem met patches te verhelpen.

Kwetsbare router in South Park

Reacties (77)

deadinspace 19 juli 2010 19:21

'Miljoenen routers kwetsbaar voor aanval via dns-rebinding'

Ik snap niet hoe dit een kwetsbaarheid is in de routers, afgezien van het hebben van een default wachtwoord.

Een DNS-rebinding attack gaat ongeveer als volgt:

Je bezoekt de website van de aanvaller (www.aanvaller.nl). Die website bevat (bijvoorbeeld) javascript die een andere site aanvalt. Dat kan een site zijn van een onschuldige derde, zodat jouw computer de bron van de aanval is, maar het kunnen ook hosts op je eigen netwerk zijn waar je van buitenaf normaalgesproken niet bij kunt. In deze context wordt gemikt op de webinterface van je router, welke van buitenaf niet benaderbaar is.
Browser vendors vonden dit niet zo'n briljant plan, dus beperken de javascript engine zo dat deze alleen contact mag zoeken met hetzelfde domein als de website zelf. www.aanvaller.nl dus. (de "same origin" policy)
De aanvaller past zijn DNS records zodanig aan dat jouw eerste lookup van www.aanvaller.nl naar zijn webserver wijst, en de tweede lookup naar 192.168.0.1 (het domein is van de aanvaller, dus de aanvaller kan dat prima doen)
Jij bezoekt www.aanvaller.nl. Je OS vraagt het adres van dat domein op en krijgt het adres van de webserver. Je browser haalt de pagina op bij de webserver, met daarin Javascript. Die Javascript benadert de website op www.aanvaller.nl. Je OS vraagt weer het adres van dat domein op, maar dit keer krijgt hij 192.168.0.1 terug, en dus maakt je browser (in opdracht van de Javascript code) verbinding met 192.168.0.1, ondanks de same origin policy.
Als de Javascript code eenmaal verbinding heeft met je router kan hij proberen in te loggen met een standaard wachtwoord. Heb je een standaard wachtwoord, lukt dat waarschijnlijk nog ook. Oeps.

Ik zie hierin de volgende problemen:

(globaal) Client-side scripting is (voor de 5 miljardste keer) gevaarlijk. "The principle of least privilege" wordt genegeerd, sandboxing is incompleet, en veiligheid is elke keer weer iets dat er achteraf een beetje bijgefrut wordt.
(specifiek) De gebruikte same origin policy in browsers is/was te naïef.
(globaal) Mensen plaatsen teveel vertrouwen in hun lokale netwerk. Beschouw je lokale netwerk als untrusted, dan maakt het ook niet uit als een aanvaller bij een van je machines kan.
(globaal) Default wachtwoorden verdienen de strop. Routerfabrikanten zijn hier schuldig aan omdat ze al die dingen met hetzelfde standaardwachtwoord leveren, en gebruikers zijn hier schuldig aan omdat ze te lam zijn het wachtwoord te wijzigen. Tsjah.

Maar buiten de default wachtwoorden zie ik hier geen kwetsbaarheid van de routers eigenlijk, maar uit de toon van zowel het originele als het t.net artikel krijg ik een beetje het idee dat men de routers schuldig acht.

Voor wat betreft de default wachtwoorden ben ik het daar mee eens, maar ik hoop niet dat gesuggereerd wordt dat routers de DNS queries filteren of aanpassen oid, want daar hebben routers met hun fikken van af te blijven vind ik...

Hierdoor kan malware worden geïnstalleerd of is dataverkeer af te luisteren.

Hoe is hiermee malware te installeren dan? Het enige wat met deze aanval kan is je browser computers laten benaderen die je eigenlijk niet had willen benaderen. Als de aanvaller op die manier met Javascript malware van een andere webserver wil binnenhengelen, waarom zet hij die malware dan niet op zijn eigen webserver? Geen DNS rebinding attack nodig.

Hoe er dataverkeer mee af te luisteren valt zie ik al helemaal niet.

[Reactie gewijzigd door deadinspace op 23 juli 2024 20:19]

Orion84 Admin General Chat / Wonen & Mobiliteit @deadinspace • 19 juli 2010 19:52

Het idee is dus dat het kwaadaardige javascript via deze truc en dankzij default wachtwoord zich toegang weet te verschaffen tot je router webinterface. Daar wordt de DNS server aangepast naar een DNS server onder beheer van de aanvaller. Daardoor kunnen hostnames van sites die het slachtoffer vertrouwt worden gekoppeld aan IP adressen van kwaadaardige servers.

Die server kan dan bijvoorbeeld een nepsite bevatten die jouw gegevens logt. De kwaadaardige server kan je verkeer ook doorsturen naar de echte website, maar wel al het verkeer loggen. De kwaadaardige server kan ook malware bevatten. Doordat de gebruiker dan op een "vertrouwde" site denkt te zitten is de kans dat malware toegelaten wordt groter.

Dreamvoid @deadinspace • 20 juli 2010 00:52

(globaal) Client-side scripting is (voor de 5 miljardste keer) gevaarlijk. "The principle of least privilege" wordt genegeerd, sandboxing is incompleet, en veiligheid is elke keer weer iets dat er achteraf een beetje bijgefrut wordt.

Tsja, dat is nou precies de oorzaak achter (99% van) alle security ellende: met client side scripting is de browser een interpreter geworden die ongezien code draait uit de grote boze buitenwereld, en dat vraagt een bijna onmenselijke slimheid van browserbakkers om de boel veilig te houden. Uiteindelijk hebben de oldschool web jongens die in de jaren 90 nog "uit principe" websites met scripts boycotten gelijk gekregen: scripting is een trojaans paard geworden waar de steeds complexer en krachtiger wordende scripts moeten worden gecountered door een lading fundamenteel beroerd ontworpen browsers waarvan de codebase tot 15 jaar terug loopt. Thanks for nothing Netscape, PHP & Sun, briljant idee dat scripten.

Los van deze DNS rebinding exploit (waarom hebben ze eigenlijk de "same origin policy" niet op IP gedaan ipv DNS?): gezien de huidige stand van zaken vind ik het onbegrijpelijk dat een browser nog als native code applicatie in het OS mag draaien. MS, Linux en Apple hebben daarin ook boter op hun hoofd: na al die honderden, duizenden "buffer overflow could allow arbitrary code execution" lekken, waarom niet verplichten dat de browser (en andere externe-script-interpreting applicaties, looking at you Adobe) niet in een managed code omgeving moet draaien? Of allemaal aan het Opera Mini-model (remote rendering) dan maar? Dan rendert je pagina maar wat langzamer, neem ik graag op de koop toe.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 20:19]

Flying Bobman @deadinspace • 19 juli 2010 22:44

Als je router geen standaard wachtwoord heeft, maar je browser heeft het wachtwoord opgeslagen, kan javascript er dan ook bij? Of heeft javascript geen permissies om dat soort acties uit te voeren?

Shol 19 juli 2010 16:49

In het artikel staat dat deze aanvalsmethode werkt bij routers van o.a. Netgear en linksys.

In die vrijgegeven spreadsheat staat echter bij de geteste netgear routers: successfull: NO

Verwijderd @Shol • 19 juli 2010 21:03

Viel mij dus ook al op... beetje vreemd, misschien heeft de auteur wel een hekel aan Netgear.

jeffer 19 juli 2010 16:52

haha, dat plaatje van southpark er ook bij...geniaal gevonden

ben ik blij dat ik een modem heb die uit test niet succesvol te kraken was

[Reactie gewijzigd door jeffer op 23 juli 2024 20:19]

leuk_he @jeffer • 19 juli 2010 17:04

Er staat niet dat jouw modem niet te hacken is. Er staat enkel dat de aanvallers het niet lukte met de eerste poging. Een simpel aanval lukt als:

-Het modem een default wachtwoorde heeft, of geen wachtwoord.
-Je dat wachtwoorde niet gewijzigd hebt.
-Je het via een webinterface (javascript in browser) kunt herconfigureren.
-Of als er kwetsbaarheden zitten in het modem, die echter alleen vanaf een intern netwerk adres misbruikt kunnen worden. (router leverancier zal dit bagitaliseren, want als je hacker al in het netwerrk zit heb je grotere problemen dan een gehackt modem denkt hij)

Wat hacken moeilijker maakt maar geen absolute stop is:
-Default interne ip van router veranderen.
-Javascript in browser uitzetten on niet vertrouwde sites.

Niekk 19 juli 2010 16:44

Maarja, als de hacker al toegang heeft tot de router (en dus die gegevens kan wijzigen), denk ik dat je sowieso al de pineut bent.
De hacker kan dan wel even de DNS settings aanpassen, maar het is in mijn ogen wel naief om te geloven dat dat het enige is wat die hacker dan gaat doen. Mensen moeten gewoon hun wachtwoord aanpassen!

Orion84 Admin General Chat / Wonen & Mobiliteit @Niekk • 19 juli 2010 17:04

Het is wel de meest interessante aanval om grootschalig uit te voeren. Iemands DNS server aanpassen naar een server die de aanvaller beheert biedt namelijk de mogelijkheid om bezoekjes aan allerlei vertrouwde sites te redirecten naar kwaadaardige servers die zich voordoen als de vertrouwde site maar ondertussen bijvoorbeeld malware installeren of passwords of creditcard gegevens stelen.

Dat je ook de WiFi-key kan jatten is leuk voor een gerichte aanval, maar niet voor de bulk van de internetcriminelen. Die zitten volgens mij toch vooral in de malware verspreiding in combinatie met botnets en dergelijke zooi.

Keypunchie

Netwerk
Beveiliging

@Niekk • 19 juli 2010 16:47

Iemand die DD-WRT erop heeft gezet zal ook het wachtwoord wel hebben aangepast. Uit het artikel begrijp ik dat het ook zou werken zonder dat je toegang tot de router nodig hebt (anders kun je idd. nog veel meer grappen uithalen).

Wat ik krom vind:
Mensen die hun default-wachtwoord niet veranderen, gaan ook geen patch installeren... dus Craig Heffne gebruikt een flauw argument om het lek te openbaren. (Niet dat ik hem tegen ga houden).

(In de VS viel me op hoeveel netwerken nog met WEP waren "beveiligd").

[Reactie gewijzigd door Keypunchie op 23 juli 2024 20:19]

Niekk @Keypunchie • 19 juli 2010 16:50

In het artikel staat beschreven dat het niet uitmaakt wat voor firmware er op staat; dus geld (in mijn ogen) het argument dat wachtwoorden gewijzigd dienen te worden voor iedereen.

bouwfraude @Keypunchie • 19 juli 2010 18:25

Wat is er mis met WEP?

Mijn Netgear accesspoint ondersteunt niets anders.
Om voor die enkele keer dat het aanstaat een nieuwe te kopen.

Glashelder

@bouwfraude • 19 juli 2010 18:51

Kom nou toch, dit soort opmerkingen horen toch niet thuis op een website als dit. Je weet zelf ook wel dat WEP binnen no-time gekraakt kan worden. De meeste mensen zetten hun AP niet uit als ze hem niet gebruiken. Dat het in jou geval dan niet uitmaakt doet niets af aan het feit dat er dus wel degelijk wat mis is met WEP, wat het voor de meeste situaties ongeschikt maakt.

Dat jouw AP niets anders ondersteunt maakt het er ook niet veiliger op, maar ik neem aan dat je dat ook wel door had

Top-Rob @Glashelder • 19 juli 2010 21:41

_{Het is nergens voor nodig zo aanmatigend te reageren: niet iedere tweaker heeft automatisch verstand van àlle takken van techniek.}

WEP is inderdaad onveilig, maar helaas soms nodig (bijv. als je een DS hebt en je wil ermee online kunnen, of een wat oudere laptop/router hebt, etc.). Dat je dan hierom 'vast zit aan WEP' maakt het er inderdaad nog niet beter op, maar het verklaard wel voor een groot deel waarom zelfs mensen met verstand van zaken dit beveiligingsprotocol nog gebruiken.

Soundless @Top-Rob • 20 juli 2010 07:59

Als je de MACfilter aanzet moet dat toch geen probleem zijn of is dat ook zo onveilig?

Dat is namelijk wat ik eerst deed. Nu heb ik gewoon wpa2 aangezet en worden de ds en wii simpelweg niet online gebruikt.. (ook offline haast niet maar goed)

teaser @Soundless • 20 juli 2010 08:20

MAC filtering is nog makkelijker te omzeilen dan WEP encryptie. Een beetje wardriver kan zonder problemen sniffen welk jouw MAC address is en dit dan gebruiken om verbinding te maken met jouw netwerk. Veel ethernet drivers laten gewoon toe dat je het MAC address van je interface kan wijzigen.

FireDrunk

@teaser • 20 juli 2010 08:48

WEP en MAC-filter beide tegelijk aan, maakt het al een stuk moeilijker om te sniffen... MAC's zijn ook gewoon versleuteld bij WEP...

Subpy @FireDrunk • 20 juli 2010 09:14

Het maakt het niet echt moeilijker.. Het is alleen weer een stap extra.. Dus men is net iets langer bezig.. Kan een rede zijn om het volgende netwerkt dan maar te proberen

Maar veilig is het niet. Maar het blijft natuurlijk zo als ze echt bij je naar binnen willen dat lukt het. Wat natuurlijk niet inhoud dat je de deur dan maar niet op slot moet doen.

Verwijderd @Top-Rob • 19 juli 2010 23:46

Compatibiliteit is ook de reden waarom de meeste providers standaard WEP configureren op de draadloze modem/routers (of "boxen") die ze leveren... :-/

cdwave @Glashelder • 20 juli 2010 14:34

I don't have to outrun the bear, just you.

Zelfde geldt hier. Het hoeft niet potdicht te zitten, genoeg om iemand te ontmoedigen is genoeg.

En dan nog... kan iemand in een busje voor de deur gaan zitten internetten, nou nou. Ik zou 'm nog vragen offie een bakkie lust

Want de rest van je netwerk kun je ook weer op andere manieren dicht zetten. Je zou bijvoorbeeld IPSec kunnen gebruiken...

leuk_he @Niekk • 19 juli 2010 17:08

De hacker moet niet de DNS settings van het modem aanpassen, de hacker gaat de DNS settings van de site (waarop jij klikt) aanpassen gedurende deze aanval. De hacker heeft volledige controle over deze site, die gebruikt wordt om jouw modem aan te kunnen vallen.

Het doel van de hack kan inderdaad zijn om de dns settings van jouw router aan ta passen, maar daar gaat het verhaal niet over. Maar goed, als hij dan uiteindleijk je dns settings heeft aangepast, wordt je inlog naar www.jouwbank.nl geleid via de site van de hacker. rara, wat gaat die dan doen???

deadinspace @leuk_he • 19 juli 2010 19:36

Maar goed, als hij dan uiteindleijk je dns settings heeft aangepast, wordt je inlog naar www.jouwbank.nl geleid via de site van de hacker. rara, wat gaat die dan doen???

Niet zoveel, als je zelf een beetje oplet, aangezien je dan OF de internetbankieren website niet over https benadert OF je een SSL certificate error krijgt.

Sommige mensen waren niet zo te spreken over de 3x kloppen campagne, maar daar proberen ze je wel te leren dat je op die (fundamentele) dingen moet letten...

dusti 19 juli 2010 16:51

Als die routers standaard niet te (her)configureren zijn vanaf een WAN of wireless IP zou je ook al heel wat problemen voorkomen.

Als de optie om router van buitenaf te laten benaderen pas gegeven wordt als het standaard wachtwoord werd gewijzigd bescherm je de leken tegen zichzelf.

Zo vandaag ook nog gehoord van collega: "ze zijn telenet komen configureren na onze verhuis en die installateur zei nog iets over draadloze beveiliging die we moesten instellen"
Waarom worden die mannen dan betaald? om wat kabeltjes in te pluggen?

catfish @dusti • 19 juli 2010 17:00

de installateur wordt inderdaad betaald om het boeltje aan te sluiten, NIET om het boeltje te beveiligen
dat kan wel, maar iedereen wil tegenwoordig de "gratis" (lees: minimale) installatie en dan krijg je dit soort dingen

Verwijderd @dusti • 19 juli 2010 17:09

Als die routers standaard niet te (her)configureren zijn vanaf een WAN of wireless IP zou je ook al heel wat problemen voorkomen.

Het gaat er juist om dat een cracker via een truc je router van binnenuit kan benaderen.

cdwave @dusti • 20 juli 2010 14:39

Een handbediende schakelaar op de router, DAT zou pas veilig zijn. En dan liefst eentje die je na een paar minuten opnieuw moet indrukken.

Ik schrijf het onbegrijpelijke admin wachtwoord altijd met een marker op de router. Voor zwarte routers heb ik zelfs een zilveren marker gekocht

Komt op hetzelfde neer.

moreasy 19 juli 2010 16:40

Alweer een reden om het standaard wachtwoord van je router te wijzigen.

Remco Kramer @moreasy • 19 juli 2010 16:49

De door Seismic ontwikkelde dns-rebinding-aanval zou vooral effectief zijn bij routers die nog zijn voorzien van een standaardwachtwoord

Daar staat anders "vooral effectief". Dat betekent bij mij dat het veranderen van het wachtwoord de effectiviteit verlaagd, maar niet nihil maakt. Ik vraag me dus af in hoeverre dit verlaagd word en of het kiezen van een moelijker wachtwoord het ook inderdaad moeilijker maakt of dat het niet veel uitmaakt.

Orion84 Admin General Chat / Wonen & Mobiliteit @Remco Kramer • 19 juli 2010 16:58

Er zijn ook routers waarbij de wachtwoord login sowieso al te omzeilen valt wegens fouten in de webinterface. Bij die routers hoeft er dus geen default wachtwoord aanwezig te zijn.

miw @Remco Kramer • 19 juli 2010 18:02

Het "vooral effectief" slaat op de opmerking dat de webserver van de router zelf lek kan zijn, waardoor kennis van het wachtwoord dus inderdaad tamelijk overbodig is. Bij een meer robuuste webserver, heeft de aanvaller dus wel het wachtwoord nodig. Als de default waarde niet aanwezig is, faalt deze aanval.

Verwijderd @moreasy • 19 juli 2010 16:53

Die redenen zijn er sowieso wel... zeker als je management via wlan automatisch aan hebt staan in zo'n router!!

Mathijs @moreasy • 20 juli 2010 13:20

Tja, ik zie daardoor niet eens de nieuwswaarde hiervan. Wanneer de toegang tot je configuratie vanaf buiten open staat en je gebruikt het standaardwachtwoord, vraag je om dit soort zaken.

Ik kan nog wel meer zaken bedenken die uitgevoerd kunnen worden wanneer je router voor heel de wereld te misbruiken valt door het standaard wachtwoord.

Een patch hiervoor helpt in dit geval ook niets voor diegenen die nu al zo'n ding hebben.
Dit soort mensen dat het standaard wachtwoord niet wijzigt, update al zeker de firmware niet.
Daarnaast is het bij dat soort mensen ook vrij makkelijk om ze ergens op te laten klikken, dus vroeg of laat vallen ze toch wel ten prooi.

jsntweaker 19 juli 2010 16:54

En wat is dan 'SUCCESFUL' in dat staatje ?
YES = NIET gehacked / WEL gehacked ?

Ook staat in de tekst dat alternative firmware niet uit zo maken terwijl deze wel afzonderlijk in de staat is opgenomen ?

Ongetwijfeld een mede-tweaker die het beter snapt die opheldering kan verschaffen....

Remco Kramer @jsntweaker • 19 juli 2010 17:01

YES = WEL "Gehacked".

Ook staat in de tekst dat alternative firmware niet uit zo maken terwijl deze wel afzonderlijk in de staat is opgenomen ?

Ik denk omdat als je bijvoorbeeld een WRT54G2 (die dus de aanval WEL doorstaat) flashed met DD-WRT dat hij de aanval NIET meer doorstaat.

Sondeer 19 juli 2010 18:12

zit ik hier met mijn cisco (linksys)shit, dacht koop ook is goed spul

Dus is het nou verstandig om dlink/netgear te kopen?
daar staat alleen maar NO bij.
Hebben die hun zaken nou beter voor elkaar?

En Fritz hoe zou het met fritz gaan?

Of is dit een weg (manier van inbreken) die nog niemand bewandelt heeft?

In Search of Sunrise @Sondeer • 19 juli 2010 21:21

Met linksys/cisco is niks mis. Het ligt meer er aan hoe je met je zaken om gaat.
Wanneer je het standaard wachtwoord al wijzigt zit je redelijk veilig. Daarnaast ook het hoofd erbij houden. Vooral je hersenen gebruiken, dat is het belangrijkste.

Whaa 19 juli 2010 16:46

Inderdaad ALTIJD het wachtwoord wijzigen. Maar ook niet vergeten remote management vanaf de internet kant uit te zetten. Als deze optie in dat type router zit. Voor 95 procent van de gebruikers is dit niet nodig.

DonJunior 19 juli 2010 16:50

IN het bericht staat: "De routers worden verkocht door onder andere Linksys en Netgear."
Maar als ik in de lijst kijk welke routers dan allemaal kwetsbaar zijn, staat er bij geen enkele Netgear router een 'Succesfull = Yes'.

Een resultaat van 17 op de 30 routers is ansich nog best veel. Niet een ramp, maar toch.
Zoals 'moreasy' ook al aangeeft, gewoon je wachtwoord wijzigen op je router. Dit scheelt al een heleboel.
Sowieso moet dit eigenlijk verplicht worden bij routers, hoeveel mensen onveilig op het internet zitten zonder dat ze het door hebben (bijvoorbeeld opa's en oma's die geen verstand hebben van die dingen en al blij zijn als het werkt) eigenlijk zou de installateur verplicht het standaard wachtwoord moeten wijzigen voordat hij überhaupt aan de slag kan met het instellen van de router.

Op dit item kan niet meer gereageerd worden.

'Miljoenen routers kwetsbaar voor aanval via dns-rebinding'

Lees meer

Reacties (77)

Sorteer op:

Weergave: