05. 11. 2013

Většina domácností využívá pro připojení několika počítačů nebo mobilních zařízení k internetu WiFi routery, u kterých se ke konfiguraci používá webové rozhraní. Bohužel mnoho z těchto webových rozhraní trpí běžnými zranitelnostmi webových aplikací, např. Cross-site Request Forgery, Cross-site scripting, Command Injection, nechráněným ověřováním a správou připojení. V minulosti se těmto chybám nevyhnul žádný z velkých výrobců těchto zařízení a většina z nich byla nucena vydat záplaty v reakci na nedostatky, které by mohly umožnit hackerům obejít procesy zabezpečení jejich výrobků.

Charakteristika zranitelnosti

Výzkumník Jakob Lell odkryl slabiny zabezpečení u některých domácích routerů TP-Link. Dotčené routery umožňují přístup k administrátorskému účtu přes webové rozhraní prostřednictvím HTTP autentizace. I když funkce prohlížeče pro zapamatování si přihlašovacích údajů je deaktivována, prohlížeč si často ukládá dočasně použité heslo pro další případné využití v aktuální relaci. Uživatel, který navštíví upravenou závadovou stránku, zatímco je stále přihlášen ke svému routeru, tak umožní exploitu z napadené webové stránky změnit nastavení DNS serveru v routerech tak, aby data z routeru nejprve směřovala k IP adresám kontrolovaných útočníkem. Pomocí nich lze pak provést man-in-the-middle útok.

K úspěšnému napadení zranitelného routeru musí být splněna jedna podmínka - útočník musí nalákat uživatele k návštěvě škodlivého webu v době, kdy je přihlášen k administraci routeru.

Postižené systémy

  • TP-Link WR1043ND V1 je zranitelný do verze firmwaru 3.3.12 build 120405 (verze 3.3.13 build 130325 a pozdější již zranitelné nejsou).
  • TP-Link TL-MR3020: firmware verze 3.14.2 Build 120817 Rel.55520n a verze 3.15.2 Build 130326 Rel.58517n jsou zranitelné (ale nejsou dotčeny současným exploitem v defaultní konfiguraci).
  • TL-WDR3600: firmware verze 3.13.26 Build 130129 Rel.59449n a verze 3.13.31 Build 130320 Rel.55761n jsou zranitelné (ale nejsou dotčeny současným exploitem v defaultní konfiguraci).

Dopad zranitelnosti

Útočník může využít tento problém k vykonání správy zařízení a získat neoprávněný přístup k tomuto postiženému zařízení. Následně pak může útočník provést man-in-the-middle útok. Teoreticky by mohl útočník pomocí napadeného DNS serveru routeru přesměrovat uživatele na phishingové stránky, zablokovat upgrady softwaru, nebo dokonce odcizit hesla k internetovým aplikacím a službám, nebo může zachytávat komunikaci mezi Android/iOS aplikacemi a jejich administrační částí.

Řešení

Pokud používáte ohrožený TP-Link router, měli byste provést následující kroky, abyste zabránili jeho napadení:

  • Zkontrolujte, zda jsou DNS servery ve vašem routeru nastaveny správně.
  • Upgradujte firmware routeru na nejnovější verzi. Tato chyba již byla opravena alespoň u některých dotčených zařízení.
  • Změňte původní heslo správce routeru za bezpečnější, patřičně silné.
  • Neukládejte toto heslo v prohlížeči.
  • Zavřete všechna další okna/karty prohlížeče při přihlášením do routeru.
  • Restartujte prohlížeč, když dokončíte administraci pomocí webového rozhraní routeru (prohlížeč si může ukládat hesla pro aktuální relace).

CVE

CVE-2013-2645

Odkazy

http://www.jakoblell.com/blog/2013/10/30/real-world-csrf-attack-hijacks-dns-server-configuration-of-tp-link-routers-2/
http://www.pcpro.co.uk/news/security/385105/tp-link-router-exploit-spotted-in-the-wild
http://www.pcauthority.com.au/News/362700,tp-link-router-exploit-discovered.aspx?utm_source=feed&utm_medium=rss&utm_campaign=PC+%26+Tech+Authority+Security+feed