[Afbeelding niet meer beschikbaar] [Afbeelding niet meer beschikbaar]
Cisco-routers kwetsbaar voor aanval via website
Door Peter de Boer - vrijdag 23 februari 2007 10:30 - Bron: Cisco - Submitter: aliencowfarm - Views: 8.049 - Permalink
Cisco heeft bekend gemaakt dat een groot aantal van zijn routers kwetsbaar is voor een nieuw soort aanval: 'drive-by pharming'. Beveiligingsbedrijf Symantec heeft vorige week al gewaarschuwd voor deze nieuwe vorm van inbraak.
Met drive-by pharming (pdf) kan een aanvaller de controle over de router van een slachtoffer krijgen. Als het slachtoffer een website bezoekt, kan een javascript op die pagina gebruik maken van Cross Site Request Forgery om in te loggen op de router van het slachtoffer. Voorwaarde is wel dat het standaard wachtwoord van de router niet is gewijzigd. Als de aanvaller eenmaal controle over de router heeft kunnen verschillende instellingen gewijzigd worden. Het grootste risico voor het slachtoffer zal waarschijnlijk het aanpassen van de dns-instellingen zijn. Als de dns-servers gewijzigd zijn in servers die onder controle van de aanvaller staan, kan deze verkeer - bijvoorbeeld naar de site van de bank van het slachtoffer - omleiden naar een website van zichzelf.
[Afbeelding niet meer beschikbaar]Een overzicht van een drive-by pharming-aanval. 1. Een bezoeker bezoekt een website 2. Een Applet wordt gebruikt om het interne ip-adres te bepalen. 3. Javascript wordt gebruikt om de router te benaderen. 4. Door javascript-errors te interpreteren kan nauwkeurig gezocht worden naar de locatie en het type van de router. 5. Het script logt in op de router om instellingen te wijzigen
Het feit dat Cisco een waarschuwing op zijn site heeft gezet betekent niet dat routers van andere fabrikanten niet kwetsbaar zijn voor drive-by pharming. Vooral de routers die op de consumentenmarkt gericht zijn hebben een standaard wachtwoord dat tijdens de installatie niet hoeft te worden gewijzigd. Het zijn ook juist thuisgebruikers die waarschijnlijk niet de moeite nemen het door de fabrikant ingestelde wachtwoord te wijzigen. De eenvoudigste methode om het probleem te voorkomen is het wijzigen van het standaard wachtwoord van de router. Fabrikanten zullen ook na moeten denken over het standaardwachtwoordbeleid. Het zou beter zijn om bijvoorbeeld het serienummer van de router als wachtwoord te gebruiken. Dit nummer is eenvoudig beschikbaar voor de gebruiker, maar niet voor een aanvaller.
HTML_body_br();[Afbeelding niet meer beschikbaar][Afbeelding niet meer beschikbaar]
bron:
Tweakers.net - Nieuws [ Cisco-routers kwetsbaar voor aanval via website ]
Cisco-routers kwetsbaar voor aanval via website
Door Peter de Boer - vrijdag 23 februari 2007 10:30 - Bron: Cisco - Submitter: aliencowfarm - Views: 8.049 - Permalink
Cisco heeft bekend gemaakt dat een groot aantal van zijn routers kwetsbaar is voor een nieuw soort aanval: 'drive-by pharming'. Beveiligingsbedrijf Symantec heeft vorige week al gewaarschuwd voor deze nieuwe vorm van inbraak.
Met drive-by pharming (pdf) kan een aanvaller de controle over de router van een slachtoffer krijgen. Als het slachtoffer een website bezoekt, kan een javascript op die pagina gebruik maken van Cross Site Request Forgery om in te loggen op de router van het slachtoffer. Voorwaarde is wel dat het standaard wachtwoord van de router niet is gewijzigd. Als de aanvaller eenmaal controle over de router heeft kunnen verschillende instellingen gewijzigd worden. Het grootste risico voor het slachtoffer zal waarschijnlijk het aanpassen van de dns-instellingen zijn. Als de dns-servers gewijzigd zijn in servers die onder controle van de aanvaller staan, kan deze verkeer - bijvoorbeeld naar de site van de bank van het slachtoffer - omleiden naar een website van zichzelf.
[Afbeelding niet meer beschikbaar]Een overzicht van een drive-by pharming-aanval. 1. Een bezoeker bezoekt een website 2. Een Applet wordt gebruikt om het interne ip-adres te bepalen. 3. Javascript wordt gebruikt om de router te benaderen. 4. Door javascript-errors te interpreteren kan nauwkeurig gezocht worden naar de locatie en het type van de router. 5. Het script logt in op de router om instellingen te wijzigen
Het feit dat Cisco een waarschuwing op zijn site heeft gezet betekent niet dat routers van andere fabrikanten niet kwetsbaar zijn voor drive-by pharming. Vooral de routers die op de consumentenmarkt gericht zijn hebben een standaard wachtwoord dat tijdens de installatie niet hoeft te worden gewijzigd. Het zijn ook juist thuisgebruikers die waarschijnlijk niet de moeite nemen het door de fabrikant ingestelde wachtwoord te wijzigen. De eenvoudigste methode om het probleem te voorkomen is het wijzigen van het standaard wachtwoord van de router. Fabrikanten zullen ook na moeten denken over het standaardwachtwoordbeleid. Het zou beter zijn om bijvoorbeeld het serienummer van de router als wachtwoord te gebruiken. Dit nummer is eenvoudig beschikbaar voor de gebruiker, maar niet voor een aanvaller.
HTML_body_br();[Afbeelding niet meer beschikbaar][Afbeelding niet meer beschikbaar]
bron:
Tweakers.net - Nieuws [ Cisco-routers kwetsbaar voor aanval via website ]
