Eine neue Studie zeigt, dass ungefähr 6 Millionen Sky-Router waren anfällig für eine DNS-Rebinding-Schwachstelle, die es ermöglichte, das Heimnetzwerk eines Kunden über das Internet zu kompromittieren. Die Entdeckung stammt von Ten Pest Partners.
Die Forscher gaben die Schwachstelle danach nicht bekannt 90 Tage, da ihnen bewusst war, dass ISPs (Internetanbieter) bekämpften einen Netzlastanstieg aufgrund der „Arbeit von zu Hause“ der Pandemie.
Sky Router DNS-Bindungs-Schwachstelle erklärt
Zunächst einmal, was ist DNS-Rebinding?? Dies ist eine Technik, die es einem Angreifer ermöglicht, die Same-Origin-Richtlinie zu umgehen, Dies ist eine in Webbrowsern implementierte Abwehr, um zu verhindern, dass Webanwendungen ohne Zustimmung des Benutzers mit verschiedenen Domänen interagieren.
Betroffen von der Sicherheitslücke waren Benutzer mit einem standardmäßigen Router-Admin-Passwort. Leider, dies war bei einer großen Anzahl von Routern der Fall. Das Ergebnis des Fehlers war der direkte Zugriff auf die Computer und Geräte der Opfer, wenn ihr Heimnetzwerk dem Internet ausgesetzt war.
Wie kann ein Angriff aktiviert werden? Um einen Angriff zu starten, müssen Sie auf einen bösartigen Link klicken oder eine bösartige Website besuchen.
Hier sind die Schritte, die erforderlich sind, um einen erfolgreichen Angriff gegen Besitzer von Sky-Routern durchzuführen:
- Das Opfer durchsucht die bösartige Website, d.h.. example.com.
- Diese Website enthält einen iframe, die Daten von einer vom Angreifer kontrollierten Subdomain anfordert, d.h.. example.com.
- In den ersten Anfragen an sub.example.com, der bösartige DNS-Server antwortet mit der richtigen IP-Adresse des bösartigen Servers, und eine JavaScript-Nutzlast wird in den iframe geladen.
- Die Nutzlast führt aufeinanderfolgende HTTP-Anfragen an den Server aus. Nach wenigen Sekunden, der bösartige HTTP-Server reagiert nicht mehr auf diese Anfragen.
- Der Browser stellt dann erneut eine Verbindung zur Domain her und eine weitere DNS-Anfrage wird gesendet. Dieses Mal, der bösartige DNS-Server antwortet mit der IP-Adresse des Ziels, in diesem Fall, der Router, der mit dem internen Netzwerk des Clients verbunden ist.
- Der Browser des Opfers stellt eine Verbindung mit dem Router her.
Was am meisten besorgniserregend ist, ist, dass Sky, der Router-Anbieter, habe das Problem fast nicht vollständig gelöst 18 Monate.
Weiter, trotz eines veröffentlichten Programms zur Offenlegung von Sicherheitslücken, Die Kommunikation von Sky war besonders schlecht und musste mehrmals nach Antworten gesucht werden, die Forscher teilten in ihrem Bericht.
Erst nachdem das Rechercheteam einen vertrauenswürdigen Journalisten eingebunden hatte, wurde das Sanierungsprogramm beschleunigt.
Was zu tun ist, wenn betroffen?
Die Empfehlung der Forscher lautet, das Admin-Passwort für das Webinterface des Routers zu ändern, um die Sicherheitslücke zu mildern. Außerdem, Empfehlenswert ist auch die Änderung des Netzwerknamens und der WLAN-Passwörter.
Im September 2021, Die Sicherheitsforscher von CyberNews haben eine erhebliche Anzahl von Sicherheitslücken in der Standard-Firmware und der Webschnittstellen-App eines beliebten Routers aufgedeckt. TP-Link AC1200 Bogenschütze C50 (v6) ist ein meistverkaufter WLAN-Router "Amazon's Choice", der für 34,50 £ im Einzelhandel erhältlich ist (~$48) im Vereinigten Königreich, hauptsächlich auf dem europäischen Markt verkauft. Leider, das Gerät wird mit einer veralteten Firmware-Version ausgeliefert, die zahlreiche Sicherheitslücken aufweist.
Der Router wird nicht nur mit anfälliger Firmware verkauft, sondern weist auch ein weiteres kritisches Problem auf, das seine Webschnittstellen-App betrifft. Hier kannst du mehr darüber lesen: Amazon-Bestseller TP-Link-Router mit anfälliger Firmware geliefert.