Verborgen admin-toegang op D-Link routers
Beveiligingsonderzoekers waarschuwen voor een verborgen administrator toegang op D-Link routers, waardoor malware en hackers het apparaat kunnen overnemen. Eerder kwam SourceSec Security al in het nieuws met het kraken van de CAPTCHA-beveiliging die D-Link routers gebruiken, maar het probleem dat men nu ontdekte is een stuk ernstiger. Daarmee is het mogelijk om de instellingen van de router zonder administrator wachtwoord te wijzigen.
D-Link routers beschikken over een tweede administratieve interface die het Home Network Administration Protocol (HNAP) gebruikt. HNAP vereist basale authenticatie, maar alleen het bestaan van HNAP op D-Link routers laat aanvallers en malware de CAPTCHA-beveiliging omzeilen. Verder is de HNAP authenticatie niet juist geïmplementeerd, waardoor iedereen de administratieve instellingen kan bekijken en wijzigen. HNAP is sinds 2006 in D-Link routers geïmplementeerd en kan niet worden uitgeschakeld. Er is dan ook geen oplossing voor het probleem, zo stellen de onderzoekers.
Alle modellen
De kwetsbaarheid is aanwezig in de HNAP-implementatie van de DI-524, DIR-628 en DIR-655 routers, maar de onderzoekers vermoeden dat waarschijnlijk alle D-Link routers sinds 2006 risico lopen. Naast het onderzoeksrapport heeft SourceSec Security ook de Proof-of-Concept tool "HNAP0wn" beschikbaar gemaakt.
- dark
Any attacker inside the local network can perform administrative actions by simply sending the
appropriate SOAP request to the router.
A remote attacker will not have direct access to the HNAP interface. However, a remote attacker can
indirectly access the HNAP interface by performing a DNS rebinding attack and using JavaScript to
make XMLHttpRequests to the router [4]. The attacker's JavaScript can make administrative
modifications to the router when a user inside the local network browses to the attacker's Web page.
"Any malicious user or malware inside the network can easily modify router configuration settings
without any knowledge of the administrative password, and without needing to solve the Web
interface's CAPTCHA.
External attackers can lure internal users to infected Web sites in order to use the internal user's browser
to attack the router's HNAP interface."
Dus er is enkel toegang nodig tot een machine binnen het intern netwerk.
indirectly access the HNAP interface by performing a DNS rebinding attack and using JavaScript to
make XMLHttpRequests to the router [4]. The attacker's JavaScript can make administrative
modifications to the router when a user inside the local network browses to the attacker's Web page.
Tja, en dan staan er toch nog 3 reacties van mensen die dit toch heeeeeel erg graag voor "- dark" uitgezocht hebben.
//// Ga ik de volgende keer ook doen....."geen zin.....ik bedoel geen tijd om te lezen, maaruh hoe werkt het eigenlijk".
Ik zat op dat moment op het werk. Er zijn dus ook mensen met een job jullie werkschuw tuig. Ik wou gewoon snel weten of het remote kon of niet om een toch wel vrij duidelijke reden. Bedankt aan degenen die een antwoord gegeven hebben.
De rest van jullie zagers kunnen de hoogste boom in. Wat voor een community verziekers zijn jullie zeg. Tnx voor de hulp!
- Dark
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
