Frissítve: veszélyben lehetnek egyes D-Link routerek

A SourceSec Security Research blog felfedezte, hogy egyes D-Link routerek a Home Network Administration Protocolt (HNAP), amely hálózati eszközök távoli menedzselését teszi lehetővé egy egységes interfészen keresztül, sebezhető formában implementálták. A HNAP-t a D-Link azért alkalmazza, hogy a felhasználók számára mellékelt Quick Router Setup Wizard PC-rezidens szoftver ezen keresztül végzi el a felhasználó által kért módosításokat.

A problémát az szolgáltatja, hogy a D-Link egyes eszközeiben hiányos biztonsági politikákkal valósította meg a HNAP kezelését, egészen pontosan nem kizárólag a D-Link szoftverrel áll szóba, hanem bármilyen HNAP hívással megszólíthatóak az eszközök. Mint az a publikációból kiderült, a D-Link routerek mindenféle hitelesítés nélkül fogadják be az eszköz beállításainak lekérdezését végrehajtó GetDeviceSettings parancsot, és ráadásul mindezt a fejléc alapján döntik el, vagyis az ehhez, a törzsbe csatolt további parancsokat már nem is szűri, függetlenül attól, hogy azok eltérnek a fejlécben deklaráltaktól, és egyébként hitelesítést igényelnének.

Így válik lehetővé, hogy (W)LAN-on keresztül lényegében bárki megváltoztathatja a sebezhető routerek beállításait, beleértve az adminisztrátori jogosultságok átvételét is. Egy megfelelően megtervezett támadással lehetőség van arra is, hogy az interneten keresztül érjük ezt el, ha a támadó sikeresen veszi rá a célpontba vett felhasználót, hogy látogasson el egy olyan oldalra, amely beágyazva tartalmazza a támadó kódot.

Egyszerű kód

Mivel a HNAP a SOAP-ra alapoz (Single Object Access Protocol), az pedig az XML-re, ezért rendkívül egyszerű XML-szkripteléssel hozhatóak létre parancsláncolatok, és ezt be lehet ágyazni hagyományos weboldalakba is. Lokális IP-re irányuló gyors DNS-hamisításra, azaz DNS rebindingre van szükség, hogy a távoli weboldalon található támadó kód biztosan lefusson a LAN-on - rendkívül rövid érvényességi idővel az oldal betöltődése közben változik meg az IP-cím a felhasználó szempontjából lokálisra, így a kód zöld utat kap az azt feldolgozó motortól.

A SourceSec alapján azon régebbi HNAP-s routerek, mint péládul a tesztelt DI-524 (Európában nem forgalmazott változat szerepelt), amelyek minden HNAP-híváshoz azonosítást igényelnek, ugyanakkor ezek is még jó támadási felületet biztosítanak a figyelmen kívül hagyott alapértelmezett felhasználón keresztül, ugyanis ezt követően szintén tetszőlegesen végrehajt bármiféle SOAP-utasítást az XML-en keresztül.  A kockázatot egyedül az csökkenti, hogy kívülről nincs közvetlen támadási felület, így nem kell tartani szőnyegbombázástól. Az eszközök webes felületét védő CAPTCHA azonban tökéletesen hatástalan.

A D-Link néhány termékében felfedezett sebezhetőség természetesen nem egyedülálló. A világ egyik legnépszerűbb otthoni routere és access pointja, a WRT54G sorozatban az elmúlt évek során számos sebezhetőséget fedeztek fel, amelyeket az eszközök többségében a mai napig nem foltoztak a felhasználók - egyes kutatások szerint például az Egyesült Államokban található Linksys eszközök közel fele sebezhető kívülről. Két évvel ezelőtt ráadásul egy olyan lehetőséget fedeztek fel hackerek az otthoni routerek többsége által használt Universal Plug and Play protokoll implementációjában, amelyet egy rosszindulatú Flash alkalmazáson keresztül ki tudtak használni, és átkonfigurálni azt, például lecserélve a DNS-t eltéríteni a felhasználók gépét.

Frissítsünk firmware-t, teszteljünk

A legnagyobb probléma az, hogy nincs ismert módja annak, hogy a HNAP-szolgáltatást ki lehessen kapcsolni, így a firmware frissítése a legkézenfekvőbb megoldás. Ha ez sem oldja meg a problémát, akkor a sikeres védekezéshez kizárólag megbízható felhasználókat szabadna a LAN-ra engedni, valamint szűrést kellene beállítani a felhasználók által meglátogatott weboldalak tartalmára - ha ez nem megoldható, akkor routert megcélzó HTTP-alapú hívásokat kell tűzfallal szűrni. Akárhogyan is, a védekezés aránytalannak tűnik az eszközök értékéhez képest, így leginkább az eszközváltás tűnik ésszerű módszernek a biztonság garantálásához egy sokfelhasználós környezetben.

Mivel a Magyarországon forgalmazott  összes, HNAP-t támogató D-Link hálózati eszköz minden revízióját letesztelni képtelenség, ezért ha ilyen eszközünk van, az egyetlen biztos módszer, ha mi magunk teszteljük, jelen van-e a sérülékenység, amihez a SourceSec NHAP0wn néven exploit sablont is biztosít, amelyet elérünk a fentebb már linkelt dokumentációban. A tesztelés előtt érdemes firmware frissítést elvégezni, ami a DIR-655 esetében például az 1.3 verziót jelenti, amely a D-Link szerint nem sebezhető.