Lorsque cette attaque réussie, elle donne à l'attaquant l'accès à l'interface d'administration du routeur, le tout à distance et en temps réel. Le coté un peu "fun" réside dans le fait que le navigateur de l'utilisateur est mis à contribution non-seulement comme moyen d'attaque mais qu'il se transforme en proxy : L'attaquant se sert du navigateur pour "rebondir" depuis l'extérieur vers la box internet.
Je vais tenter de préciser le plus simplement les principes de fonctionnement de cette attaque et vous proposerai quelques mesures permettant de s'en protéger.
Moyens requis pour l'attaquant
Pour monter ce type d'attaque, l'attaquant doit
1) déposer un nom de domaine (ex: "diablotin.com"
2) Avoir son contrôle un serveur DNS autoritaire pour ce nom de domaine "diablotin.com"
3) Avoir un serveur web présent Internet pour diffuser son code javascript
4) Faire en sorte que votre navigateur contacte initialement son site web
Le principe fondateur
En réponse à une requête DNS (ex: www.monsite.com), il est possible de répondre avec plusieurs adresses IP. Ce mécanisme est utilisé pour l'équilibrage de charge (ou bien le fast-flux). Une fois ces informations reçues, le navigateur contacte la première adresse IP de la liste et passera à la seconde si la première ne réponds pas.
L'attaquant va répondre à une demande de résolution de noms en inscrivant deux adresses IP : la première sera celle d'un site web sous son contrôle (afin d'envoyer le code javascript d'attaque) et la seconde sera l'adresse IP externe de la box Internet.
Transfert du code javascript
Le navigateur contacte le site web de l'attaquant; télécharge le code javascript et l'exécute. Une fois cela fait, le site web va automatiquement bloquer les requêtes provenant de cette adresse IP.
Le code javascript s'exécute
Le code va chercher a contacter de nouveau le site web de l'attaquant (www.attaquant.com), mais comme celui-ci a été fermé, au bout d'un certain délai, il va automatiquement essayer la seconde adresse IP reçue lors de la résolution DNS. Il va ainsi envoyer sa requête vers l'adresses IP publqiue de la box d'accès Internet.
Une configuration réseau trop permissive par défaut
C'est ici que la vulnérabilité réside : Pour les box Internet testée, celles-ci répondent à des requêtes auxquelles elles ne devraient pas. L'interface web d'administration de la box n'est normalement accessible que depuis le LAN. Mais une requête envoyée depuis le LAN vers l'adresse IP de l'interface WAN passe au travers... c'est cela qui est exploité dans l'attaque de
Craig Heffner.
Si un routeur ou box Internet ne présente pas d'interface d'administration en local, ou si ce service n'est en écoute que sur l'interface LAN, alors pas d'attaque possible.
Le routeur est directement sous le feu de l'attaquant
Une fois la connexion en place, l'attaquant accède directement à l'Interface web d'administration de la box Internet.
Il suffit que le mot de passe par défaut n'ait pas été changé et c'est fini : Il pourra ouvrir des flux en direct ou changer tout autre paramètre, bref il se sent chez lui alors qu'il est dans votre réseau.
Quelques recommandations
- Mettez à jour le logiciel de votre box ou routeur Internet
- Configurez la box de façon que l'interface d'administration ne soit en écoute que sur l'interface réseau du LAN
- Changez le mot de passe d'accès à l'interface web d'administration
- En complément, bloquez l'exécution du javascript au niveau de votre navigateur.
- Si cela est possible, arrêtez l'interface d'administration web.
Les derniers navigateurs seraient à priori protégés
Toujours selon Craig Heffner, les navigateurs Internet IE8 et Firefox 3.x sont protégés contre les attaques de DNS-Rebinding... Ceci dit, je me demande bien de quelle manière cela est mis en œuvre... Si quelqu'un a des informations, je suis preneur : ca sera l'occasion d'un bulletin complémentaire à celui-ci. :-)
Impact limité aux équipements achetés indépendamment
La plupart des box Internet des opérateurs ou fournisseurs d'accès ne devrait à priori pas être concernées par ce type d'attaque : Ou les interfaces d'administration sont sécurisées via un mot de passe unique/spécifique à la box ou celles-ci ne sont carrément pas sur la box (mode centralisé vers l'opérateur). Il conviendra néanmoins de vérifier que tout est bien en ordre, personne n'est à l'abri de détails de mise en œuvre.
Pour les routeurs "fait maison" par les plus technophiles d'entre nous, ce sera pour eux de mettre les mains dans le cambouis pour reconfigurer cela "pronto & fissa" avec le sentiment que l'on ne leur la fait pas aussi simplement. :-)
C'est peut-être les routeurs achetés ici et là qui sont le plus à risque : Une fois achetée, la boite et bien vite oubliée et rares sont les personnes qui vont penser à mettre à jour leur firmware ou à changer leur mots de passe... Peut-être que seront aussi concernés certains des "vieux" routeurs que les ISPs proposaient avant de sortir leurs box "all in one". Pour avoir la liste des équipements identifiés comme vulnérables, je vous invite à lire le whitepaper (cf plus bas).
Pour en savoir un peu plus
Pour ceux qui souhaiteraient rentrer dans les détails ou qui se posent des questions, je les invite à lire le whitepaper disponible dans l'archive mise à disposition en téléchargement depuis Google Code : Aux cotés de ce whitepaper vous y trouverez le code source de l'outil "Rebind".
Jeu de briques
Snake
Pacman
Bubble