Miles de routers domésticos vulnerables

El experto de seguridad Craig Heffner, uno de los ponentes de la Black Hat de este año, demostró una forma de vulnerar miles de routers domésticos. ¿El secreto? DNS Rebinding y una vulnerabilidad extendida en la gran mayoría de routers SOHO.

La técnica conocida como DNS Rebinding ha sido ampliamente conocida durante años para acceder a equipos internos de una LAN utilizando únicamente el navegador, JavaScript y respuestas DNS especialmente construidas. Esto no es nada nuevo hoy en día, pero si le añadimos el desliz de algunos de los fabricantes de routers domésticos en la gestión que hacen de sus conexiones y reglas Firewall, el resultado puede ser sorprendente. Este fue el tema principal de Craig Heffner en la BlackHat de este año y cuyo Whitepaper podéis encontrar en la página oficial de la Defcon.

Craig Heffner llevó a cabo una demostración práctica de este ataque mediante la herramienta Rebind, desarrollada por el mismo y con la que permite convertir el navegador en un Proxy a tiempo real a través del cual el atacante puede interactuar con el router de la víctima como si el atacante estuviera en la misma LAN:

El ataque fue probado con éxito contra gran cantidad de modelos de router entre los cuales se encuentran Linksys, Thompson, Belkin, Dell, Asus, etc.

Medidas de protección actuales

Según Craig Heffner, el uso de ciertas técnicas CSRF para intentar acceder al panel de configuración web de un router por un usuario externo están limitadas hoy en día en gran manera por los navegadores. El uso de propiedades same-domain policy por parte de los mismos complican dichos ataques; además la gran mayoría de los navegadores no aceptan o alertan del uso de URL de autenticación del tipo: http://ususario:password@10.0.0.1 donde anteriormente era posible llevar a cabo tales acciones. A esto hay que añadirle la necesidad de conocer la IP interna del router, que aunque no resulte complejo sigue incrementando las dificultades para llevar a cabo este tipo de ataques:

Además de las restricciones vistas anteriormente, los navegadores también implementan protecciones para mitigar algunos tipos de ataques Dns-rebinding y Dns-spoofing, como el denominado DNS pinning donde el navegador cacheará la primera respuesta DNS que ha recibido y la guardará mientras el navegador siga ejecutándose o hasta que su cache expire, ignorando de esta forma los valores TTL recibidos en la misma (motivo por el que esta contra medida fue interpretada como una violación del estándar http 1.1).

Nuevo vector de ataque

A diferencia del método anterior, el tipo de ataque llevado a cabo por Craig Heffner hace uso de respuestas múltiples de registros A por parte del servidor DNS , característica soportada y definida en el protocolo DNS y que permite devolver varias IP en respuesta a una solicitud DNS por parte del servidor «autoritativo». El atacante, para poder llevar a cabo dicho ataque por tanto, necesita registrar un dominio fraudulento y gestionar el servicio DNS para poder crear tales repuestas DNS.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.