Независимый эксперт по информационной безопасности, известный под псевдонимом Kafeine, недавно сообщил о наблюдавшихся им атаках на пользовательские маршрутизаторы. Замена прописанных в их конфигурации DNS-серверов (Domain Name System) позволяет перехватывать трафик, взламывать поисковые запросы, внедрять поддельную рекламу в веб-сайты и многое другое.
DNS устроена иерархически: после ввода имени веб-ресурса в адресной строке браузера, тот запрашивает операционную систему, она перенаправляет запрос в локальный маршрутизатор, а он обращается в DNS-серверам, обычно тех, которые принадлежат интернет-провайдеру. Цепочка продолжается, пока не достигает сервера, отвечающего за это доменное имя, или пока нужная информация не будет извлечена из серверного кэша.
Включившись в нее на любом этапе, хакеры смогут подставлять ложный IP-адрес, направляющий, например, на поддельную версию нужного торгового веб-сайта, собирающую информацию о банковских картах посетителей.
Подавляющее большинство нелегально распространяемых хакерских программ используют непропатченные дыры в защите браузерных модулей, таких как Flash Player, Java, Adobe Reader или Silverlight. Они работают, направляя браузер пользователя, посетившего зараженный сайт, на сервер, который определяет тип ОС компьютера пользователя, его IP, установленные браузерные модули. На основании этих и прочих технических деталей сервер выбирает из своего арсенала наиболее подходящую «отмычку» для вскрытия защиты.
Атаки, свидетелем которых стал Kafeine, строились по-другому. Пользователей Google Chrome направляли на хакерский сервер, откуда им загружали программы для определения используемой модели маршрутизатора и замены в настройках последнего адресов DNS-серверов.
Многие пользователи уверены, что веб-интерфейсы администрирования их маршрутизаторов доступны только из локальной сети. Однако существует техника CSRF (cross-site request forgery), позволяющая хакерскому сайту дистанционно управлять действиями веб-браузера, производимыми с пользовательским интерфейсом третьего сайта. Этим третьим, в рассматриваемом случае является управляющий веб-интерфейс маршрутизатора.
На многих веб-ресурсах имеется защита от CSRF, но в маршрутизаторов она обычно не предусмотрена. Найденный Kafeine инструментарий совместим с более чем четырьмя десятками моделей маршрутизаторов, включая устройства от таких производителей, как Asustek Computer, Belkin, D-Link, Edimax Technology, Linksys, Medialink, Microsoft, Netgear, Shenzhen Tenda Technology, TP-Link Technologies, Netis Systems, Trendnet, ZyXEL Communications и HooToo.
В качестве вторичного DNS, используемого как резерв, хакерская программа ставит публичный DNS-сервер Google. Таким образом, даже если сервер взломщиков недоступен, маршрутизатор работает нормально, не давая владельцу повода что-то заподозрить и проверить его настройки.
С февраля, когда информация об этой уязвимости была предоставлена вендорами, некоторые из них уже выпустили соответствующие обновления прошивки, но из-за отсутствия процедуры автоматического апгрейда, доля маршрутизаторов, вовремя пропатченных своими владельцами, по-видимому очень невелика.
По информации от Kafeine, за первую неделю мая по адресу сервера хакеров было зарегистрировано 250 тыс. уникальных обращений в день, а пик – миллион посещений – пришелся на 9 мая. География жертв более-менее равномерна, наиболее пострадали такие страны, как США, Россия, Австралия, Бразилия и Индия.
Источник: ko.com
Оставить комментарий