Een recent ontdekte beveiligingsfout maakt miljoenen routers kwetsbaar voor session hijacking en inbraak in thuisnetwerken.

Craigh Heffner, onderzoeker bij het beveiligingsbedrijf Seismic heeft een lek ontdekt waarmee men met behulp van DNS-rebinding aanvallen op routers kan uitvoeren. Heffner zal later deze maand op de Black Hat beveiligingsconferentie in Las Vegas hierover een lezing geven en het lek aantonen met een proof-of-concept. Heffner stelt vast dat een groot aantal routers kwetsbaar is voor het lek, waaronder apparaten van Belkin, Linksys, ActionTec, Asus, Dell en routers die third-party firmware draaien zoals OpenWRT, DD-WRT en PFSense. De onderzoeker heeft een lijst vrijgegeven met 30 geteste routers waarvan de helft kwetsbaar blijkt te zijn.

Oude aanvalsmethode
Aanvalsmethodes gebaseerd op DNS-rebinding worden reeds jaren gebruikt. Heffner claimt hierop een nieuwe variant te hebben gevonden. Bij DNS-rebinding wordt het Domain Name System, het systeem dat domeinnamen naar IP adressen vertaalt, misbruikt. De gebruiker wordt naar een schadelijke site gelokt die vervolgens een vervalste DNS response naar de gebruiker stuurt. Moderne browsers maken gebruik van het same origin policy systeem om ervoor te zorgen dat script code zoals javascript geen toegang heef tot data buiten het oorspronkelijke domein. Een domein kan echter meerdere IP adressen hebben en daarom stuurt de aanvaller een DNS response terug met het IP adres van de webserver alsook een alternatief adres; d.i. in dit geval het adres van de router wat in de private address range valt en achter een firewall verscholen zit. Hierdoor wordt het same origin policy systeem omzeilt. Volgens de DNS response ligt de router nu ook in het domein waardoor er script code kan op worden uitgevoerd.

De meeste moderne browser herkennen deze DNS-binding aanvallen in een vroeg stadium maar Heffner beweert dit te kunnen omzeilen met zijn aanvalsmethode. Precieze details hierover zal hij in zijn lezing op de Black Hat conferentie vrijgeven.

“Potential fixes implemented in the free DNS replacement OpenDNS and the Firefox NoScript plug-in won't prevent his exploit. The way that [those patches] are circumvented is actually fairly well known. It just hasn't been put together like this before.", aldus Heffner.

Toegang tot router
Hoewel de hacker na het uitvoeren van de DNS-binding aanval toegang heeft tot het lokale netwerk moet hij nog volledige toegang krijgen tot de router. Volgens Heffner is dit niet de grootste zorg: hiervoor kan men makkelijk beveiliginglekken in de router firmware voor gebruiken of zelfs het default password gebruiken. Slechts weinig mensen veranderen de instellingen van hun router, voegt Heffner toe.

Heffner: “Routers are usually poorly configured and have vulnerabilities, so the trick isn't how to exploit the router. It's how to get access to it."

De beveiligingsonderzoeker hoopt dat met het vrijgeven van een exploit de ernst van het probleem zal worden begrepen. Heffner hoopt zowel browser- als routermakers te overtuigen het beveiligingslek te dichten.