Muitos dos roteadores mais modernos são controlados através de um servidor Web embutido, o que representa um ponto de ataque tentador. Durante sua apresentação na Black Hat Conference, o especialista em segurança Craig Heffner descreveu uma nova técnica para ganho de acesso ao front-end Web de roteadores. Vale ressaltar que, em determinadas circunstâncias, os atacantes podem utilizar alguns truques interessantes para ganhar acesso a esse front-end Web, principalmente se a sua segurança deixar a desejar, o que seria considerado uma "porta aberta" para a entrada de invasores.
O interessante é que essa abordagem feita por Heffner é inovadora. Ele mesmo afirma que sua abordagem não envolve nenhum conceito básico. Em vez disso, ele precisa combinar vários ingredientes como rebinding de DNS e privilégios de rotas de acessos definidos para conseguir explorar esse problema existente.
O truque se baseia em fazer uma requisição para uma página Web, como www.p0wn.you, para que um servidor DNS controlado pelo atacante, retorne dosi endereços. É claro que essa é uma prática largamente utilizada, como por exemplo, para equilibrar a carga em vários servidores. Só que no caso de Heffner, o DNS retorna o endereço de IP real, assim como, o endereço de IP do visitante atual de p0wn.you, que por sinal, é a mesma interface externa (DSL) do roteador do visitante.
Com isso, o navegador irá utilizar inicialmente o primeiro endereço, que é o endereço correto do servidor, para obter a página Web. A página Web requisitada contém código Javascript embarcado que, por exemplo, tenta abrir uma outra ágina Web como http://www.p0wn.you/firewall-config.html.
Nesta ocasião, o servidor do atacante irá rejeitar a conexão requerida, o que faz com que o navegador "se lembre" de que há um outro endereço para o mesmo servidor. E ele irá imediatamente tentar acessar esse novo endereço. É nesse ponto que muitos atacantes se beneficiam de configurações básicas que muitos roteadores herdam de sistemas Linux dos quais eles são baseados: suas interfaces internas aceitam requisições que se destinam a interfaces externas. Como resultado, o script pode acessar a página Web contendo as configurações de firewall do roteador, e o navegador até "pensa" que essa página pertence ao domínio p0wn.you. E isso garante ao script acesso completo a página, e ainda permite que o firewall seja desabilitado com ao marcar o check-box "disable firewall", e posteriormente clicar no botão "save".
Entretanto, os atacantes precisam efetuar um bypass na proteção de acesso ao roteador, para conseguirem efetuar um ataque com sucesso. E um atacante pode alcançar seus objetivos de duas maneiras: a primeira é a mais intuitiva, e visa tentar adivinhar a senha de acesso. principalmente para as administrações que insistem em utilizar as senhas de acesso padrão dos equipamentos. Já na segunda opção, o atacante precisa ter certeza de conseguir que a interface Web abra em uma segunda página Web, através de links da página principal do roteador.
E agora um pouco de segurança: dentre as recomendações da BSI (German Federal Office for Information Security), destacamos o uso de senhas difíceis. A segunda é que os usuários sejam obrigados a iniciar uma nova sessão em seus navegadores quando estiverem acessando a interface Web dos roteadores. Para isso, os usuários devem fechar todas as janelas de seu navegador, abrir apenas uma janela e fechar a mesma após o roteador ter efetuado sua tarefas. O que pode parecer desnecessariamente complicado, parece ser a única maneira de evitar que scripts externos possam ser executados e virem a interferir no sistema de controle. Os usuários também são aconselhados a sempre verificar por atualizações do roteador de forma regular, e instalar quaisquer atualizações que encontrarem. E por último, a BSI recomenda que as redes wireless devem ser protegidas com uma senha WPA2 dedicada.
Links de Interesse:
- Router access through the back door
Mensagem do Sistema