Masívny útok na domáce routery neprístupné z Internetu, cez prehliadač Chrome

Značky: routeryútokyChrome

DSL.sk, 26.5.2015

Bezpečnostný expert s prezývkou Kaffeine cez víkend informoval o odhalení masívneho útoku na množstvo modelov domácich routerov.

Útok

Útok intenzívny najmä v prvej polovici mája je pritom realizovaný na routery bez ohľadu na to, či ich administrátorské rozhranie je prístupné z Internetu.

Kód realizujúci útok je totiž vložený do bližšie nešpecifikovaných webových stránok infikovaných útočníkmi a snaží sa na routery zaútočiť cez lokálnu sieť pomocou JavaScriptu pri zobrazení týchto stránok v prehliadači užívateľa na jeho PC.

Útok sa snaží identifikovať model routeru podľa zverejnených kódov zrejme len na niekoľkých typických lokálnych IP adresách ako 192.168.1.1, 192.168.0.1 a 192.168.2.1 a prístup do administrátorského rozhrania sa snaží získať odskúšaním štandardných hesiel pre jednotlivé modely routerov prípadne najčastejších jednoduchých hesiel ako password alebo 1234.

Následne sa útok snaží využitím CSRF zraniteľností, teda vykonaním aktívnych akcií načítaním URL z kontextu iných stránok otvorených v rovnakom prehliadači, zmeniť nastavenie používaných DNS serverov na routeri.

Ako primárny DNS server útok nastavuje server pod kontrolou útočníkov, čo im s minimálnym zásahom do routerov umožňuje podvrhovať IP adresy pre rozličné ciele útoku. Na aké ciele útočníci ďalej útočili zatiaľ bezpečnostný expert nezistil.

Krajiny užívateľov, ktorí sa stali terčom útoku, kliknite pre zväčšenie (obrázok: Kaffeine)

Zaujímavosťou útoku je, že sa aktivuje len pri zobrazení infikovaných stránok v prehliadači Chrome ale nie v Internet Exploreri a Firefoxe. Prečo sa útok zameriava len na Chrome nie je jasné.

Aké stránky boli infikované Kaffeine neinformuje. Najviac cieľov útoku bolo podľa zistení experta v USA, Rusku, Austrálii, Brazílii, pričom v niektorých dňoch v prvej polovici mája sa útok pokúšal útočiť na 500 tisíc až milión návštevníkov.

Zraniteľné routery

Útok podľa analýzy jeho zdrojových kódov útočí na viac ako 50 modelov najmä domácich sieťových routerov okrem iného značiek Asus, D-Link, TP-Link, Linksys, Netgear, Netis, Zyxel.

Terčom útokov sú okrem iného modely Asus AC68U, RTN56U, RTN10P, RTN66U, RT56-66-10-12, RTG32, D-Link DIR-600, DIR-604, DIR-645, DIR-810L, DIR-826L, DIR-615, DIR-651, DIR-601, WBR1310, D2760, DSLG604T, DIR-2740R, Belkin F5D7230-4, F5D8236-4V2, F9k1105V2, F5D7231-4, F5D7234-4, Linksys BEFW11S4 V4, L120, WRT54GSV7, BEFW11S4 V4, LWRT54GLV4, WRT54GV8, X3000, L000, Netgear DGN1000B, DG834v3, DGN2200, WNDR3400, DGN1000, DGN2200, WNR834Bv2, WPN824v3.

Odporúčania

Vzhľadom na akciu vykonávanú útokom je odporúčané užívateľom skontrolovať na ich routeri nastavenie DNS serverov, pričom štandardne väčšinou DNS servery nie sú nastavené napevno a preberajú sa od poskytovateľa pripojenia.

Útok za primárny DNS naopak nastavoval jednu z IP adries 217.12.202.93, 185.82.216.86 a 37.139.50.45.

Štandardným odporúčaním je samozrejme v žiadnom prípade nepoužívať na routeri ani iných sieťových zariadeniach štandardné prednastavené heslo a to ani v prípade, že administrátorské rozhranie routeru nie je prístupné z Internetu.

Tomuto konkrétnemu útoku by predišlo zrejme tiež nastavenie neštandardného IP adresného rozsahu lokálnej siete, napríklad 192.168.115.0/24.

Dôležité je tiež aktualizovať firmvér routerov na najnovší dostupný, hoci výrobcovia často opravujú chyby výrazne neskôr ako je to v prípade softvéru pre PC a nie výnimočne zostávajú aj známe chyby najmä v starších modeloch neopravené.




Najnovšie články:



Diskusia:

Houston Od reg.: Houston | Pridané: 26.5.2015 18:09 Na takychto routeroch menim standardne nielen heslo ale aj IP adresu. Uz boli aj take chyby v routroch, ktore umoznovali heslo obist alebo ho zistit. Zatial su tieto pokusy napevno na standardne IP, ale verim tomu, ze casom dospeju (ako virusy) a pomocou nejakej chyby v prehliadaci zistia aj DHCP-om priradeny gateway a pojdu po nom. Odpovedať Známka: 6.0 Hodnotiť:

Re: Houston Od: PCnityXXX | Pridané: 26.5.2015 18:31 Aj ja som volakedy robil rozne zmeny defaultnych nastaveni, fixol wifi na WPA2 s AES okrem toho ze vsade bezi OpenWRT (pripadne stare dd-wrt) co byva bezpecnejsie nez povodny firmware. Dnes je mi jasne ze to nema zmysel a cele WAP uz mam len na ztazenie pristupu nepovolanym, vyssia bezpecnost sa dosahuje len VPNkou a default gatewayom az z nej. V takomto pripade je jedno ze niekto ovladne domaci router/gateway, ak by aj podvrhol IPcku VPN servera, nebude sediet certifikat... A to ze sa da cleartext traffic buzerovat z DC je mi jasne, ale to by si uz niekto musel dat podstatne viac namahy. Odpovedať Známka: -2.9 Hodnotiť:

Re: Houston Od: PCnityXXX | Pridané: 26.5.2015 18:32 Jessus... WAP nevstavaj z mrtvych. WPA pravdaze. Odpovedať Známka: 8.5 Hodnotiť:

Re: Houston Od reg.: Jaa 1 | Pridané: 26.5.2015 19:39 Si vo mne nostagiu vyvolal :)) Odpovedať Známka: 9.2 Hodnotiť:

Re: Houston Od reg.: Houston | Pridané: 26.5.2015 20:00 Jasne, pravda. Ja som vsak hovoril o beznych ludoch doma s internetom. Kam si on vytoci VPNku? OpenWRT nedam na vsetky gerety a hlavne nie ked ma niekto zariadenie v prenajme (Orange, Telekom Magio, ...), takze mi zostava bojovat s tym co mam. Samozrejme WPA2 s AES je nutnost pri Wifi. Hlavne treba vypnut aj WPS alebo mat istotu, ze je fixnute na opakovane hadanie. V najhorsom pripade, sa do routra vo firewalle zada jednoduche pravidlo, ze na vsetky jeho otvorene porty(staci zistit port scanom) zakazem pristup okrem jednej pevnej IP zvnutra, ktora je mimo DHCP rozsahu a v sieti sa nepouziva. Chces nastavit router? Nerobis to kazdy den, tak zmenis na chvilu IP a je to. Odpovedať Známka: 8.9 Hodnotiť:

Re: Houston Od: lolo21 | Pridané: 26.5.2015 21:07 super nápad, akurát u mňa by to dopadlo tak, že na tú zmenenú IP by som si už v živote nespomenul Odpovedať Známka: 9.0 Hodnotiť:

Re: Houston Od: Ferikuš | Pridané: 26.5.2015 21:53 a ty vieš nájsť cestu domov?? Odpovedať Známka: 5.7 Hodnotiť:

Re: Houston Od: lolo21 | Pridané: 26.5.2015 22:19 keby som domov chodil raz za 3 roky tak by som s tým tiež mal problém Odpovedať Známka: 9.0 Hodnotiť:

Re: Houston Od: dfdfdfd | Pridané: 26.5.2015 21:04 ako si nastavim vpnku vo win 8.1 _ vie mi niekto poradit aj servery alebo nejaku dobru vpn sluzbu ? dakujem Odpovedať Známka: 0.0 Hodnotiť:

Re: Houston Od: krakava | Pridané: 27.5.2015 10:28 nemas za co :) Odpovedať Známka: 5.0 Hodnotiť:

Re: Houston Od: Boh1 | Pridané: 27.5.2015 12:40 Skús toto Vpngate.net Odpovedať Hodnotiť:

Re: Houston Od: Anonym. | Pridané: 26.5.2015 22:17 Nemusi vyuzit ani chybu v prehliadaci. Teoreticky by utocnikovi stacilo skusit cez javascript volat javu (ak ju mas povolenu) a cez nu potom zistit tvoju lokalnu ip adresu. Tym utocnik zisti v akom lokalnom ip priestore sa nachadza tvoj pc, co mu znacne zjednodusi hladanie tvojho routra na 254 moznosti (255 minus tvoja ip adresa ktoru uz pozna a vie ze to router nie je) a je to preto, lebo tvoj domaci router musi mat lokalnu ip adresu v tom istom ip priestore ako tvoj pc, cize tam pojde na istotu a potom jednoducho skriptom automaticky prejde vsetkych 254 adries v danom ip priestore a na kazdej skusi otvorit webove rozhranie routra, jedna z nich sa urcite chyti no a tam potom dalej pokracuje uz s nasadenim utoku samotneho. Odpovedať Známka: 1.4 Hodnotiť:

Re: Houston Od: ujo Tomas | Pridané: 27.5.2015 8:40 Zalezi od masky podsiete.. Odpovedať Známka: 10.0 Hodnotiť:

Uz aj u nas Od: kopo | Pridané: 26.5.2015 18:23 Vcera som riesil jeden takyto pripad, na Airlive. Cloveku ukazuje potom stranku s policajnym varovanim. Odpovedať Známka: 7.3 Hodnotiť:

Re: Uz aj u nas Od: Deja Vu | Pridané: 26.5.2015 18:30 nah policajny stat :-) Odpovedať Známka: 9.1 Hodnotiť:

Re: Uz aj u nas Od: .em | Pridané: 26.5.2015 19:40 ja som nedavno riesil dva AirLive, oba rom-0 pozitivne, aktualizacia neexistuje... da sa to sice "osetrit" ale radsej sli do zberu elektroodpadu... skoda, ze dnes chce kazdy setrit aj na sietovych prvkoch, ktore sa im potom (v lepsom pripade len) kazia... Odpovedať Známka: 8.2 Hodnotiť:

Re: Uz aj u nas Od: Ferikuš | Pridané: 26.5.2015 21:55 paranoja stojí moc peňazí ako vidím...ak je niečo rom0+ tak nie je dôvod zahodiť to preboha Odpovedať Známka: 7.1 Hodnotiť:

chello Od: qwerty/z | Pridané: 26.5.2015 18:30 uf stale tam mam chello DNS Odpovedať Známka: 2.0 Hodnotiť:

........... Od reg.: pocitujlasku | Pridané: 26.5.2015 18:50 Nepouzivam chrome, takze som v bezpeci Odpovedať Známka: -0.8 Hodnotiť:

Re: ........... Od: qwerty/z | Pridané: 26.5.2015 19:01 ak si jediny pouzivatel internetu, ktory ten router pouziva tak ano Odpovedať Známka: 6.2 Hodnotiť:

router Od: tom.sk | Pridané: 26.5.2015 19:03 Prave som to riesil u rodicov ale dns bol 63.neviem dalej. Heslo nebolo standardne... Odpovedať Hodnotiť:

...123 Od: tukituk | Pridané: 26.5.2015 19:26 Este ze mam redirect DNS na hlavnom routry , tak mozu mat dalsie home routre nastavene akekolvek DNS aj tak pojdu cez moj DNS . Odpovedať Známka: -2.0 Hodnotiť:

admin 1234 Od: brankoooo | Pridané: 26.5.2015 21:13 riesil som par tychto routrov v priebehu dvoch tyzdnov, vacsinou tplink adsl, pomohlo zmenit heslo na pristup a nastavit ACL na urcitu ip adresu z ktorej ako jedinej sa da nalogovat do routra. zatial to drzi, pokial som neaktivoval ACL, len zmenil heslo, routre mali o par dni zase zmenene DNS. Odpovedať Známka: 7.1 Hodnotiť:

Problém sa netýkal len Chrome Od: popeye | Pridané: 26.5.2015 21:17 Riešil som tento problém v dvoch firmách. Mali zložité heslo, IP neboli štandardné a aj tak boli DNS zmenené. Nieje pravda že sa problém prejavoval len cez Chrome, problém sa týkal všetkých prehliadačov. Nešli stránky napr. www.google.sk, www.youtube.com... Namiesto toho sa otvorila stránka že v PC je zastaralý flash player a podobala sa na stránku ozajstného flash playera... Len pritom antivirak vyskakoval ako besný... Odpovedať Známka: 7.1 Hodnotiť:

Re: Problém sa netýkal len Chrome Od reg.: Houston | Pridané: 26.5.2015 22:35 Na niektorych routeroch sa da jednoducho zistit heslo aj z internetu. Je tym padom jedno ako velmi je zlozite. Pohladaj napriklad rom-0 zranitelnost alebo http://www.dsl.sk/article.php?article=15976 Je tam aj sposob ochrany. Na inych routeroch sa heslo da obist. Staci vediet spravnu celu URL prikazu na nastavenie. Blby priklad: http://192.168.1.1/Dhcp.htm/ ?dnsserver=<IP>&dnsserver2=<IP>&Save=! Odpovedať Známka: 10.0 Hodnotiť:

Mikrotik Od: JA2 | Pridané: 26.5.2015 21:37 Mikrotik bez problemof.......... Odpovedať Známka: 3.3 Hodnotiť:

Re: Mikrotik Od: Mikrotik_2 | Pridané: 27.5.2015 6:36 Pytas sa? Dufas? Alebo tvrdis? Tiez ho totiz pouzivam :)) Odpovedať Známka: 5.0 Hodnotiť:

Re: Mikrotik Od: radis | Pridané: 27.5.2015 7:58 ja tam mam stale dns od providera takze mna to zatial tiez obchadza. navyse pokial cloveku staci winbox/ssh a nepotrebuje graphing tak staci vypnut web rozhranie (webfig je aj tak prd) Odpovedať Hodnotiť:

Re: Mikrotik Od: 4Maniak. | Pridané: 28.5.2015 14:59 Oznamuje... Odpovedať Hodnotiť:

IP adresa doma Od: neviem meno | Pridané: 27.5.2015 8:34 NAČO budem doma dávať adresu typu 192.168.0.1 ?? Dávam a aj mám 10.0.0.1. Mám to prehľadnejšie a ako vidím tak ešte aj bezpečnejšie. Akokeby som si doma nemohol nastaviť IP hocijake... Odpovedať Známka: -5.0 Hodnotiť:

utokkk Od: lama16427 | Pridané: 27.5.2015 8:41 Minuly tyzden som presne toto riesil. Stale vyskakovali popup okna ze treba update flash playeru.. potom stale otvaralo stranky adcash.com a im podobne vyskusal som tri anti viry preinstal windowsu az ked som sa pripojil cez mobil a tam to iste mi to doslo.. Odpovedať Známka: 10.0 Hodnotiť:

Re: utokkk Od: lama16427 | Pridané: 27.5.2015 8:46 Este doplnim ze ip som mal defaultnu 192.168.2.1 ale heslo do routra som mal svoje myslim ze celkom dobre.. router je edimax Odpovedať Známka: 10.0 Hodnotiť:

router Od: +-/ | Pridané: 27.5.2015 12:57 pfsense a uz nikdy nic ine. Odpovedať Hodnotiť:

IQonline Od: IQonline | Pridané: 27.5.2015 16:28 z mojej praxe: 80 - 90% enduserov ani nevedia kde a aky maju router. Pouzivaju vacsinou default set. Z pristupov vedia max. heslo na wifi a ani netusia, ze na tu krabicku z antenkou sa da nalogovat. Ak problem, tak tel. hotline = Power on/off. O com tu tocite? no coment................ Odpovedať Známka: 3.3 Hodnotiť:

Re: IQonline Od: nikto. | Pridané: 27.5.2015 18:25 Budem hadat 80 - 90% z tych userov ma ochlpenie na 90% svojho tela a skace po stromoch. Odpovedať Známka: 5.0 Hodnotiť:

Re: IQonline Od reg.: AeroPo | Pridané: 27.5.2015 20:49 To s ochlpením nič nemá :D Chalan má náhodou pravdu, včera som sa "hádal" s vlastnou rodinou, keď krstnej nešiel doma net (len kvôli búrke) ale na WiFi ju to prihlásilo do siete, takže z jej úvahy vyšlo že je čosi špatné s Wifi a nie s Internetom samotným. Poviem jej nech vyskúša net na bratrancovom desktope, ktorý je pripojený káblom, tak sa začne somnou naťahovať, že aj ten je pripojený cez WiFi, lebo ide do tej istej krabičky. Sumárum ? Router = WiFi = Sieť = Internet Bežní ľudia tieto veci do seba nedokážu rozlíšiť, resp. ako povedal chalan pred tebou, netušia že existujú a že sa s nimi dá pracovať. Odpovedať Známka: 10.0 Hodnotiť:

xxxxx Od: niktos | Pridané: 28.5.2015 10:41 Mne sa nik nedostane do routra ani do pc, pri dverach je vlciak :), vypovedna hodnota clanku je taka ista. Odpovedať Známka: -10.0 Hodnotiť:

Pridať komentár