image

Dns rebinding kan aanvallers toegang tot lokale netwerk geven

maandag 25 juni 2018, 14:33 door Redactie, 11 reacties
Laatst bijgewerkt: 25-06-2018, 15:27

Alleen door het openen van de verkeerde link of het zien van een advertentie kan een aanvaller toegang tot het lokale netwerk en achterliggende apparaten krijgen. Daarvoor waarschuwt onderzoeker Brannon Dorsey. De techniek die aanvallers hiervoor kunnen gebruiken wordt dns rebinding genoemd.

Het zorgt ervoor dat een aanvaller vanaf het internet de firewall van de gebruiker kan omzeilen en zijn browser kan gebruiken om direct met de apparaten op het thuisnetwerk te communiceren. Dns rebinding kwam de afgelopen maanden verschillende keren in het nieuws. Zo bleken games van gameontwikkelaar Blizzard, zoals StarCraft en World of WarCraft, hier kwetsbaar voor te zijn, alsmede de torrentclient Transmission en de Fritzbox-modems van fabrikant AVM.

De same-origin policy is een beveiligingsmaatregel die moet voorkomen dat een website die in de browser is geopend geen andere geopende websites kan benaderen. Ook zorgt het ervoor dat een script op een website geen toegang tot andere machines op het lokale netwerk kan krijgen. Een belangrijk onderdeel van de same-origin policy is het vergelijken van domeinnamen. Dns rebinding maakt hier gebruik van door het ip-adres van een domeinnaam snel te veranderen in een ander ip-adres.

Voor de browser gaat het nog steeds om dezelfde domeinnaam, maar wordt er wel een ander ip-adres geladen. Dit kan zowel een lokaal als extern ip-adres zijn. Op deze manier kan een aanvaller via de browser van de gebruiker bij lokale ip-adressen komen en zo toegang tot allerlei apparaten krijgen. Dorsey plaatste op Medium een uitgebreide uitleg over de werking van dns rebinding.

Ook ontdekte hij dat verschillende apparaten, zoals de Radio Thermostat CT50, Google Home, Chromecast, RokuTV en Sonos WiFi-speakers hiervoor kwetsbaar zijn of waren. Inmiddels is Roku met een update gekomen en doet Sonos dit volgende maand. Daarnaast zijn er verschillende maatregelen die eindgebruikers kunnen nemen, zoals het gebruik van OpenDNS dat verdachte ip-adressen in dns-verzoeken filtert. Een andere optie is het gebruik van Dnsmasq of het installeren van router-firmware zoals DD-WRT, aldus de onderzoeker.

Reacties (11)
25-06-2018, 18:16 door Anoniem
Ik heb die beloofde fix van XS4All voor de FRITZ!Box 7360 v1 nooit gehad. Die zit nog steeds op versie 6.30. Zal wel niet belangrijk genoeg zijn om te fixen. Een malafide website kan dus mijn lokale netwerk configuratie uitlezen..

https://www.security.nl/posting/379939/XS4ALL+gaat+FRITZ%21box-modems+klanten+op+afstand+updaten hebben ze wel automatisch gefixed. En ook voor een heleboel oude modellen van AVM.

Misschien tijd voor een nieuw modem..
25-06-2018, 19:59 door Eric-Jan H te D
Vreemd. Mijn Fritzbox 7581 zegt juist dat het DNS rebind expliciet heeft geblokkeerd,
behalve voor door jezelf expliciet opgegeven domeinen.
25-06-2018, 20:27 door Anoniem
Door Eric-Jan H te A: Vreemd. Mijn Fritzbox 7581 zegt juist dat het DNS rebind expliciet heeft geblokkeerd,
behalve voor door jezelf expliciet opgegeven domeinen.

welke firmware versie gebruik je?
25-06-2018, 20:47 door Anoniem
Door Anoniem: Ik heb die beloofde fix van XS4All voor de FRITZ!Box 7360 v1 nooit gehad. Die zit nog steeds op versie 6.30. Zal wel niet belangrijk genoeg zijn om te fixen. Een malafide website kan dus mijn lokale netwerk configuratie uitlezen..

https://www.security.nl/posting/379939/XS4ALL+gaat+FRITZ%21box-modems+klanten+op+afstand+updaten hebben ze wel automatisch gefixed. En ook voor een heleboel oude modellen van AVM.

Misschien tijd voor een nieuw modem..

Xs4all heeft heel zeker allang aangegeven dat je een 7360V2 kon krijgen. Die heeft gewoon wel de updates (en is ook heel veel stabieler dan de oude v1, er is nl een reden dat die niet meer gesupport worden)
25-06-2018, 21:41 door Anoniem
DNS Rebind protection is altijd actief op mijn Xs4all Fritzbox 7581 met versie 06.85 kan alleen uitzonderingen opgeven.
25-06-2018, 22:28 door Anoniem
Door Anoniem: Xs4all heeft heel zeker allang aangegeven dat je een 7360V2 kon krijgen. Die heeft gewoon wel de updates (en is ook heel veel stabieler dan de oude v1, er is nl een reden dat die niet meer gesupport worden)

Mijn 7360 v1 is anders heel stabiel hoor. En het is altijd zo'n gedoe met kabels en instellingen om een nieuw modem te vragen aan de helpdesk..

Volgens mij is de 7360 v1 ook nog wel veilig te noemen. Zolang je geen NAS of veel andere apparaten op je lokale netwerk hebt. Aan mijn lokale netwerk valt niet veel te ontdekken. Ook geen TV.

IPv6 heb ik uit staan in Windows 10. Ik weet niet of dat helpt. Ergens gelezen dat dat een mitigation is.
26-06-2018, 04:18 door Anoniem
Okay, dus een "onderzoeker" heeft een blogpost op hipsterblogsite medium.com even verteld hoe dns rebinding werkt en nu is dit al jaren bekende ding ineens wereldnieuws. Houthakkershirt much?
26-06-2018, 05:06 door Eric-Jan H te D
Door Anoniem/20:27: welke firmware versie gebruik je?

Ik beheer er vier, waarvan één met de beta

Model: FRITZ!Box 7581
FRITZ!OS: 06.85-50446 PLUS zowel als FRITZ!OS: 06.85

Beiden stellen:
"DNS Rebind Protection
FRITZ!Box suppresses DNS responses that refer to IP addresses in its own home network (DNS rebind protection). Here you can specify a list of domain names for which DNS rebind protection should not apply.
Domain name exceptions: "
26-06-2018, 10:28 door Anoniem
Door Eric-Jan H te A: Beiden stellen:
"DNS Rebind Protection
FRITZ!Box suppresses DNS responses that refer to IP addresses in its own home network (DNS rebind protection). Here you can specify a list of domain names for which DNS rebind protection should not apply.
Domain name exceptions: "
Misschien is het handig om te vermelden waar die dat stellen. Bij mijn FRITZ!Box 7490 trof ik het aan onder Home Network — Home Network Overview — Network Settings. Onderaan, en het is alleen zichtbaar in de advanced view.
26-06-2018, 11:06 door Anoniem
Door Anoniem:
Door Anoniem: Xs4all heeft heel zeker allang aangegeven dat je een 7360V2 kon krijgen. Die heeft gewoon wel de updates (en is ook heel veel stabieler dan de oude v1, er is nl een reden dat die niet meer gesupport worden)

Mijn 7360 v1 is anders heel stabiel hoor. En het is altijd zo'n gedoe met kabels en instellingen om een nieuw modem te vragen aan de helpdesk..

Volgens mij is de 7360 v1 ook nog wel veilig te noemen. Zolang je geen NAS of veel andere apparaten op je lokale netwerk hebt. Aan mijn lokale netwerk valt niet veel te ontdekken. Ook geen TV.

IPv6 heb ik uit staan in Windows 10. Ik weet niet of dat helpt. Ergens gelezen dat dat een mitigation is.

Die kabels is onzin, zelfde kabels, gewoon omhangen. Van de V1 een backup maken en teruglezen in de V2. Alles bij elkaar 10 minuten en je draait met de nieuwe versie.

En als je denkt dat je nu wel veilig bent, veel succes met je laatste firmware van 3 jaar geleden ;)
26-06-2018, 18:30 door Anoniem
@11:06: Kabels is wel spannend in mijn geval. Er zit hier namelijk een bankstel tussen de aansluiting van KPN en mijn v1 modem. Als de kabels van de v2 korter zijn, dan heb ik een probleem. En mijn UTP kabel naar mijn computer gaat niet tot aan de aansluiting van KPN. Niet handig, maar zo heb ik het 10 jaar geleden laten doen door XS4All. (Ik mocht kiezen, modem voor de bank of modem achter de bank). Ik moet er even zin in hebben. Veel gedoe.

Als ik een nieuw type modem installeer, dan ga ik geen oude settings van een ander type modem importeren. Dat is net zo iets als de vroegere 'Upgrade' versies van Windows. Er gaat toch niets boven een verse installatie. Veel beter. (Als het al kan).

Bovendien wil ik geen v2, ik wil iets nieuwers. Liefst voorbereid op WPA3. WPA2-AES begint ook op zijn einde te lopen qua veiligheid. Volgens mij is de v2 ook al weer redelijk oud.

Ik zit trouwens al weer op mijn derde modem van XS4All. De voorlaatste was een Speedtouch 780. Dan is wat ik nu heb toch veel beter. De fabrikant van de Speedtouch bestond toen al niet meer. Dat ding begon echt onveilig te worden. Dat is bij AVM anders.

Om snelheid geef ik niet. Als ik maar youtube filmpjes in Full HD kan kijken zonder buffering. Één-persoons huishouden hier. (Wat ik met 5 F-Secure licenties moet weet ik ook niet, vind het een draak van een programma). En zoals ik al zei, mijn v1 is heel stabiel. Ik geloof dat het enige verschil met de v2 de hoeveelheid intern geheugen is. Minder firmware code moet in theorie toch veiliger zijn?!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.