Около шести миллионов клиентских маршрутизаторов Sky Broadband в Великобритании были затронуты критической уязвимостью, исправление которой потребовалось более 17 месяцев для клиентов.
Обнаруженная уязвимость представляет собой ошибку повторного связывания DNS, которую злоумышленники могут легко использовать, если пользователь не изменил пароль администратора по умолчанию или злоумышленник может подобрать учетные данные.
Результатом эксплуатации может стать компрометация домашней сети клиента, изменение конфигурации маршрутизатора и, возможно, переключение на другие внутренние устройства.
Атака повторного связывания DNS на маршрутизаторах Sky
Атаки повторного связывания DNS используются для обхода меры безопасности браузера, называемой Same Origin Policy (SOP), которая блокирует отправку сайтом запросов на сайты, отличные от его собственного источника. Этим источником обычно является домен, который вы посетили в браузере.
Эта мера безопасности была введена, чтобы заблокировать один веб-сайт от кражи файлов cookie с другого сайта, доступа к данным на других сайтах или выполнения других междоменных атак.
Поскольку SOP фокусируется на доменном имени, а не на IP-адресе, цель состоит в том, чтобы обмануть браузер, заставив думать, что сценарий обращается к исходному домену, но на самом деле обращается к внутреннему IP-адресу (127.0.01 / 192.168.0.1). ).
Именно здесь в игру вступают атаки DNS Rebinding, которые при правильном проведении приводят к целому ряду атак.
Чтобы атака сработала, жертву необходимо обманом заставить перейти по вредоносной ссылке или посетить вредоносный веб-сайт. Это может быть легко сделано злоумышленником, рассылающим клиентам Sky фишинговые электронные письма, сообщения в социальных сетях, текстовые SMS-сообщения, содержащие ссылки на вредоносный сайт.
Как только жертва посещает сайт, будет отображаться iframe, который запрашивает данные из поддомена, управляемого злоумышленником.
Затем этот сценарий загружает полезные данные JavaScript в iframe, который выполняет последовательные HTTP-запросы к серверу, при этом последний отвечает своим IP-адресом.
Через несколько секунд сервер перестает отвечать на эти запросы, и это вызывает повторную инициацию подключения браузера к домену, поэтому отправляется новый запрос DNS.
Однако на этот раз сервер отвечает IP-адресом цели (192.168.0.1), который является маршрутизатором жертвы.
Поскольку браузер считает, что он все еще обменивается данными с исходным доменом, он позволит сценарию удаленного веб-сайта отправлять запросы на внутренний IP-адрес маршрутизатора (192.168.0.1).
«После того, как соединение от полезной нагрузки JavaScript к целевому маршрутизатору было установлено, злоумышленник мог общаться с внутренним веб-сервером и мог делать запросы, которые изменяли бы настройки так же, как это обычно происходит в веб-браузере клиента», — пояснил PenTestPartners в их отчет.
Используя эту уязвимость, исследователи создали PoC-эксплойт, который мог выполнять различные вредоносные действия на маршрутизаторе, в том числе:
- Войдите в систему как администратор с учетными данными по умолчанию (пользователь: admin — пароль: sky)
- Измените пароль администратора (необходимо для включения удаленного управления)
- Сбор и отображение имени SSID и пароля WPA2
- Включить удаленное управление
Демонстрацию этого эксплойта можно увидеть на видео ниже, созданном PenTestPartners как часть их отчета.
Этот PoC работает на следующих моделях маршрутизаторов, которые соответствуют примерно шести миллионам пользователей:
- Sky Hub 3, 3.5 и Booster 3 (ER110, ER115, EE120)
- Sky Hub 2 и бустер 2 (SR102, SB601)
- Sky Hub (SR101)
- Sky Hub 4 и Booster 4 (SR203, SE210) — ограниченное влияние из-за доставки со случайными паролями
На развертывание исправления потребовалось 17 месяцев
Команда PenTestPartners сообщила о своих выводах 11 мая 2020 года, и Sky признала проблему и назначила дату исправления на ноябрь 2020 года.
Это превышало стандартные 90 дней раскрытия уязвимости, но исследователи приняли это без возражений, поскольку интернет-провайдер имел дело с необычной нагрузкой на трафик из-за блокировки COVID-19.
Патч для исправления так и не появился, и Sky в конечном итоге пересмотрела план, пообещав исправить 50% затронутых моделей к маю 2021 года, что было выполнено.
Поскольку другая половина все еще уязвима, а сотрудники PenTestPartners считают, что Sky не действует срочно, в августе исследователи связались с прессой, чтобы оказать дополнительное давление.
В конце концов, 22 октября 2021 года Sky отправила электронное письмо с сообщением, что Sky исправила 99% всех уязвимых маршрутизаторов с помощью обновления.
Прошло более 17 месяцев с момента первоначального раскрытия информации, что сделало пользователей уязвимыми для атак повторного связывания DNS в период, когда многие из них работали из дома.
Последнее обновление 05.01.2023
