Black Hat: Veel populaire thuisrouters lek

Seismic heeft geconstateerd dat verschillende modellen van Netgear, Linksys en Thomson kwetsbaar zijn voor een nieuwe versie van een oud probleem in het Domain Name System (DNS), de verwijsindex die domeinnamen koppelt aan de IP-adressen van de server waarop de betreffende website draait.

De aanvalsmethode heet DNS rebinding en ondermijnt de ingebouwde beveiling van browsers tegen ongeoorloofde script-acties. Een website kan namelijk op verschillende IP-adressen te bereiken zijn, een methode om de werklast van de server te verdelen. Moderne browsers controleren of de informatie komt van geregistreerde IP-adressen. Het softwaregereedschap dat Seismic-onderzoeker Craig Heffner op de Black Hat-conferentie beschikbaar maakt, weet deze beveiliging te omzeilen door IP-adressen op het lokale netwerk van het slachtoffer in de lijst met geregistreerde IP-adressen te verwerken.

Het slachtoffer moet worden verleid een site te bezoeken met zo'n gecorrumpeerde lijst. Met een script op de site kan de aanvaller vervolgens de browser van het slachtoffer misbruiken om toegang te krijgen tot diens lokale netwerk en mogelijke webservers die daarop aanwezig zijn.

Nu heeft de doorsnee pc in een lokaal netwerk geen webserver, maar de router in het netwerk wel. Deze apparatuur gebruikt een webinterface om de instellingen te wijzigen. De meeste consumenten nemen de moeite niet om een wachtwoord in te stellen en laten de default inloggegevens actief.

Heffner constateerde dat ongeveer de helft van de door hem geteste routers op deze manier is over te nemen. De resultaten heeft hij al op inernet gepubliceerd. (Succesful betekent dat de betreffende router zo is over te nemen). Heffner wil dat browser en routerproducenten deze vorm van misbruik definiteif onmogelijk maken omdat het probleem van rebinding de afgelopen 15 jaar steeds opnieuw opduikt.