En ny undersøgelse afslører, at ca 6 millioner Sky-routere var sårbare over for en DNS-genbindingssårbarhed, der gjorde det muligt at kompromittere en kundes hjemmenetværk fra internettet. Opdagelsen kommer fra Ten Pest Partners.
Forskerne annoncerede ikke sårbarheden efter 90 dage, da de var klar over, at internetudbydere (Internet Service Providers) bekæmpede en stigning i netværksbelastningen på grund af pandemiens "arbejde hjemmefra."
Sky Routers DNS-bindingssårbarhed forklaret
Først og fremmest hvad er DNS rebinding? Dette er en teknik, der gør det muligt for en hacker at omgå Samme-origin-politikken, som er et forsvar implementeret i webbrowsere for at forhindre webapplikationer i at interagere med forskellige domæner uden brugerens samtykke.
Berørt af sårbarheden var brugere med en standard-admin-adgangskode til routeren. Desværre, dette var tilfældet med et stort antal routere. Resultatet af fejlen var direkte adgang til ofrenes computere og enheder, hvis deres hjemmenetværk var udsat for internettet.
Hvordan kan et angreb aktiveres? At starte et angreb involverer at klikke på et ondsindet link eller besøge et ondsindet websted.
Her er de nødvendige trin for at udføre et vellykket angreb mod ejere af Sky-routere:
- Offeret browser til den ondsindede hjemmeside, dvs.. example.com.
- Denne hjemmeside indeholder en iframe, som anmoder om data fra et underdomæne styret af angriberen, dvs.. example.com.
- I de indledende anmodninger til sub.example.com, den ondsindede DNS-server svarer med den korrekte IP-adresse på den ondsindede server, og en JavaScript-nyttelast indlæses i iframen.
- Nyttelasten udfører på hinanden følgende HTTP-anmodninger til serveren. Efter få sekunder, den ondsindede HTTP-server holder op med at reagere på disse anmodninger.
- Browseren genstarter derefter forbindelsen til domænet, og endnu en DNS-anmodning sendes. Denne gang, den ondsindede DNS-server svarer med målets IP-adresse, i dette tilfælde, routeren tilsluttet klientens interne netværk.
- Offerets browser etablerer en forbindelse til routeren.
Det, der er mest bekymrende, er, at Sky, routerleverandøren, behandlede næsten ikke problemet fuldt ud 18 måneder.
Endvidere, på trods af at have et offentliggjort program til afsløring af sårbarhed, Skys kommunikation var særlig dårlig og måtte jages flere gange for at få svar, forskerne delte i deres rapport.
Først efter at forskerholdet havde involveret en betroet journalist, blev udbedringsprogrammet accelereret.
Hvad gør, hvis det er påvirket?
Forskernes anbefaling er at ændre administratoradgangskoden til routerens webgrænseflade som et middel til at afbøde sikkerhedsfejlen. Desuden, Det anbefales også at ændre netværksnavnet og Wi-Fi-adgangskoden.
I september 2021, CyberNews-sikkerhedsforskere afslørede et betydeligt antal sikkerhedsfejl i standard firmware- og webinterface-appen på en populær router. TP-Link AC1200 Archer C50 (v6) er en bedst sælgende ‘Amazon’s Choice’ wifi-router sælges til 34,50 £ (~ $ 48) i Storbritannien, hovedsageligt solgt på det europæiske marked. Desværre, enheden leveres med en forældet firmwareversion, der er modtagelig for mange sikkerhedsfejl.
Routeren sælges ikke kun med sårbar firmware, men den kommer også med et andet kritisk problem, der vedrører dens webinterface -app. Det kan du læse mere om her: Amazon bedst sælgende TP-Link router leveret med sårbar firmware.