image

JavaScript-aanval bedreigt routers

donderdag 21 juni 2012, 11:03 door Redactie, 6 reacties

Beveiligingsonderzoekers hebben een manier gevonden om via kwaadaardige JavaScript routers van consumenten en kleine bedrijven over te nemen. Phil Purviance en Joshua Brashars baseerden hun werk op een demonstratie uit 2006. Toen lieten onderzoekers Jeremiah Grossman en Robert Hansen tijdens de Black Hat conferentie al zien hoe het mogelijk is om via cross-site request forgery routers in het interne netwerk over het internet aan te spreken.

Brashers en Purviance hebben de aanval verfijnd door onder andere Javascript te gebruiken. Daardoor is het mogelijk om een kwaadaardig bestand naar een interne router te sturen, alsmede het flashen van de router met kwaadaardige firmware.

Social engineering
"Met deze aanval kun je met nauwelijks enige interventie van de gebruiker netwerkapparaten overnemen" ,aldus Brashars. "Zodra je het netwerkapparaat hebt gecompromitteerd, ben je niet langer meer afhankelijk van dat de gebruiker zijn browser open houdt." De aanval uit 2006 vereiste de nodige social engineering, maar dat obstakel is in de nieuwe aanval opgelost. "Het voordeel van deze aanval is dat er geen social engineering is vereist", stelt Purviance.

Precieze details worden pas tijdens de Black Hat conferentie op 25 juli bekend gemaakt, maar de aanval maakt gebruikt van HTML5 en andere nieuwe browser technologieën. Modernere browsers zijn dan ook gevoeliger voor de aanval, laten de twee onderzoekers weten.

Reacties (6)
21-06-2012, 11:06 door 0101
Nog even ter verduidelijking: dit is niet de schuld van de browsermakers, maar van het feit dat de mensen die software voor routers schrijven basale beveiliging zoals security tokens niet implementeren.
21-06-2012, 11:19 door Anoniem
Over basale fouten in routers gesproken...

Vond onderstaand artikel over TP-Link routers (soho devices) op reddit. Alhoewel het topic gaat over een ander type dan het mijne werkt het ook voor de redelijk populaire WR1043N. Een simpele backdoor via een URL te benaderen met wachtwoorden die inmiddels op het internet bekend zijn. Een bijna rechtstreekse shell op de router. Firewall uitzetten, routering omgooien - allemaal geen probleem...

En ja - dan is javascript het vehicel dat de hackers binnen helpt...

http://www.reddit.com/r/netsec/comments/vamc4/debugging_shell_with_root_privileges_in_tplink/
21-06-2012, 11:27 door User2048
Door Redactie: Modernere browsers zijn dan ook gevoeliger voor de aanval, laten de twee onderzoekers weten.

Hé, dat is bijzonder. Meestal is het de verouderde meuk die kwetsbaar is.
21-06-2012, 11:51 door 0101
Door User2048:
Door Redactie: Modernere browsers zijn dan ook gevoeliger voor de aanval, laten de twee onderzoekers weten.

Hé, dat is bijzonder. Meestal is het de verouderde meuk die kwetsbaar is.
Ja, maar die "oude meuk" zijn de routers. De hypermoderne toegangspoort is de browser.
21-06-2012, 12:03 door Anoniem
De meeste router zijn zoiezo ook vulnerabvle voor een clikcjacking attack
21-06-2012, 13:54 door Anoniem
Toen ik mijn ziggo router thuis kreeg heb ik mij ook verbaast over het fijt dat hij een standaard wachtwoord gebruikt en dat het niet verpligt het is om deze te veranderen. Volgens mij is het een klein kunstje om met Java in te loggen en de DNS aan twee passen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.