Szerző: Bizó Dániel

2010. január 12. 17:51

Frissítve: veszélyben lehetnek egyes D-Link routerek

Egy biztonságtechnikai blog jelentése szerint az elmúlt évek során gyártott D-Link routerek egy része valószínűleg támadható a LAN felől, és könnyedén átkonfigurálhatóak jogosulatlanul. A D-Link Magyarország szerint a támadható eszközökből nincs Magyarországon.

HIRDETÉS

A SourceSec Security Research blog felfedezte, hogy egyes D-Link routerek a Home Network Administration Protocolt (HNAP), amely hálózati eszközök távoli menedzselését teszi lehetővé egy egységes interfészen keresztül, sebezhető formában implementálták. A HNAP-t a D-Link azért alkalmazza, hogy a felhasználók számára mellékelt Quick Router Setup Wizard PC-rezidens szoftver ezen keresztül végzi el a felhasználó által kért módosításokat.

Frissítés

A SourceSec által tesztelt, és biztosan támadható a D-Link DI-524, DIR-628 és DIR-655 routerek olyan hardver- és szoftverrevíziókat használtak, amelyek Európában, így Magyarországon sosem kerültek hivatalosan forgalomba, közölte lapunkkal a D-Link Magyarország.
A cég tesztje szerint a hazánkban jelenleg kapható DIR-655 az aktuálisan legfrissebb firmware-rel nem támadható a módszerrel. A cikk eredeti szövegezése elmulasztotta megemlíteni ezeket a releváns tényeket, amiért elnézést kérünk az olvasóktól, valamint a D-Link Magyarországtól.

A problémát az szolgáltatja, hogy a D-Link egyes eszközeiben hiányos biztonsági politikákkal valósította meg a HNAP kezelését, egészen pontosan nem kizárólag a D-Link szoftverrel áll szóba, hanem bármilyen HNAP hívással megszólíthatóak az eszközök. Mint az a publikációból kiderült, a D-Link routerek mindenféle hitelesítés nélkül fogadják be az eszköz beállításainak lekérdezését végrehajtó GetDeviceSettings parancsot, és ráadásul mindezt a fejléc alapján döntik el, vagyis az ehhez, a törzsbe csatolt további parancsokat már nem is szűri, függetlenül attól, hogy azok eltérnek a fejlécben deklaráltaktól, és egyébként hitelesítést igényelnének.

Így válik lehetővé, hogy (W)LAN-on keresztül lényegében bárki megváltoztathatja a sebezhető routerek beállításait, beleértve az adminisztrátori jogosultságok átvételét is. Egy megfelelően megtervezett támadással lehetőség van arra is, hogy az interneten keresztül érjük ezt el, ha a támadó sikeresen veszi rá a célpontba vett felhasználót, hogy látogasson el egy olyan oldalra, amely beágyazva tartalmazza a támadó kódot.

Egyszerű kód

Mivel a HNAP a SOAP-ra alapoz (Single Object Access Protocol), az pedig az XML-re, ezért rendkívül egyszerű XML-szkripteléssel hozhatóak létre parancsláncolatok, és ezt be lehet ágyazni hagyományos weboldalakba is. Lokális IP-re irányuló gyors DNS-hamisításra, azaz DNS rebindingre van szükség, hogy a távoli weboldalon található támadó kód biztosan lefusson a LAN-on - rendkívül rövid érvényességi idővel az oldal betöltődése közben változik meg az IP-cím a felhasználó szempontjából lokálisra, így a kód zöld utat kap az azt feldolgozó motortól.

A SourceSec alapján azon régebbi HNAP-s routerek, mint péládul a tesztelt DI-524 (Európában nem forgalmazott változat szerepelt), amelyek minden HNAP-híváshoz azonosítást igényelnek, ugyanakkor ezek is még jó támadási felületet biztosítanak a figyelmen kívül hagyott alapértelmezett felhasználón keresztül, ugyanis ezt követően szintén tetszőlegesen végrehajt bármiféle SOAP-utasítást az XML-en keresztül.  A kockázatot egyedül az csökkenti, hogy kívülről nincs közvetlen támadási felület, így nem kell tartani szőnyegbombázástól. Az eszközök webes felületét védő CAPTCHA azonban tökéletesen hatástalan.

A D-Link néhány termékében felfedezett sebezhetőség természetesen nem egyedülálló. A világ egyik legnépszerűbb otthoni routere és access pointja, a WRT54G sorozatban az elmúlt évek során számos sebezhetőséget fedeztek fel, amelyeket az eszközök többségében a mai napig nem foltoztak a felhasználók - egyes kutatások szerint például az Egyesült Államokban található Linksys eszközök közel fele sebezhető kívülről. Két évvel ezelőtt ráadásul egy olyan lehetőséget fedeztek fel hackerek az otthoni routerek többsége által használt Universal Plug and Play protokoll implementációjában, amelyet egy rosszindulatú Flash alkalmazáson keresztül ki tudtak használni, és átkonfigurálni azt, például lecserélve a DNS-t eltéríteni a felhasználók gépét.

Frissítsünk firmware-t, teszteljünk

A legnagyobb probléma az, hogy nincs ismert módja annak, hogy a HNAP-szolgáltatást ki lehessen kapcsolni, így a firmware frissítése a legkézenfekvőbb megoldás. Ha ez sem oldja meg a problémát, akkor a sikeres védekezéshez kizárólag megbízható felhasználókat szabadna a LAN-ra engedni, valamint szűrést kellene beállítani a felhasználók által meglátogatott weboldalak tartalmára - ha ez nem megoldható, akkor routert megcélzó HTTP-alapú hívásokat kell tűzfallal szűrni. Akárhogyan is, a védekezés aránytalannak tűnik az eszközök értékéhez képest, így leginkább az eszközváltás tűnik ésszerű módszernek a biztonság garantálásához egy sokfelhasználós környezetben.

Mivel a Magyarországon forgalmazott  összes, HNAP-t támogató D-Link hálózati eszköz minden revízióját letesztelni képtelenség, ezért ha ilyen eszközünk van, az egyetlen biztos módszer, ha mi magunk teszteljük, jelen van-e a sérülékenység, amihez a SourceSec NHAP0wn néven exploit sablont is biztosít, amelyet elérünk a fentebb már linkelt dokumentációban. A tesztelés előtt érdemes firmware frissítést elvégezni, ami a DIR-655 esetében például az 1.3 verziót jelenti, amely a D-Link szerint nem sebezhető.

Sokan szembesülnek a cloudos számlájuk elhízásával. Mint ahogyan a test számára is lehetséges egy jó étrend kialakítása a súlyfelesleg elkerülése érdekében, úgy egy kis tervezéssel a felhő költségei optimalizálhatók. Többek között ilyen témákkal foglalkozik a december 9-i HWSW meetup.

a címlapról

Hirdetés

FinOps: a fájdalommentes diéta titka a felhőben

2021. december 7. 23:34

Sokan szembesülnek a cloudos számlájuk elhízásával. Mint ahogyan a test számára is lehetséges egy jó étrend kialakítása a súlyfelesleg elkerülése érdekében, úgy egy kis tervezéssel a felhő költségei optimalizálhatók. Többek között ilyen témákkal foglalkozik a december 9-i HWSW meetup.