The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

05.08.2010 22:54  Представлен инструмент для проведения атак "DNS rebinding"

На прошедшей в конце июля в Лас-Вегасе конференции Black Hat, исследователь в области компьютерной безопасности Крейг Хеффнер (Craig Heffner) представил простой в использовании инструмент для проведения атак типа "DNS rebinding" — Rebind.

Суть атаки "DNS rebinding" состоит в следующем. Вначале злоумышленник обманом заставляет жертву открыть web-страницу, содержащую специально подготовленный JavaScript-код, Flash-объект или Java-апплет. Далее, этот код обращается к своему серверу при помощи XMLHttpRequest или аналогичной технологии. Ключевой момент — обращение происходит по доменному имени, которое делегировано на специально подготовленный DNS-сервер. Такой сервер периодически разрешает это доменное имя то во внешний адрес web-сервера злоумышленника, то во внутренний адрес локальной сети (например, 192.168.0.1). Таким образом, исполняемый на компьютере жертвы код может работать как прокси, предоставляя доступ извне к хостам в локальной сети, имеющим внутренние адреса. В частности, злоумышленник может получить доступ к административному интерфейсу домашнего маршрутизатора, недоступному на WAN-порту.

Представленный на BlackHat инструмент Rebind предназначен именно для атак на домашние маршрутизаторы. Здесь можно посмотреть список маршрутизаторов, которые успешно атакуются им. На странице FAQ проекта можно ознакомиться с краткой инструкцией по развертыванию Rebind'а.

Важным достоинством атак типа "DNS rebinding" является то, что большинство методов защиты, используемых в современных браузерах, основано как раз на проверке доменного имени, и поэтому не могут противостоять атакам этого типа (XMLHttpRequest блокирует обращения к доменам, отличным от текущего). Однако, стоит отметить, что в вышедшей недавно версии NoScript 2.0 реализована защита даже от таких атак. Кроме того, защиту от описанной атаки можно реализовать на уровне программного обеспечения домашнего маршрутизатора. В качестве примера дистрибутива для маршрутизаторов, имеющего такую защиту, Хеффнер приводит pfsense. Также, защита от подобных атак поддерживается в DNS-сервере BIND начиная с версии 9.7. Ну и наконец, стоит отметить, что шансы на успех атаки значительно снижаются, если пользователь меняет стандартный пароль для доступа к интерфейсу маршрутизатора на свой собственный, стойкий.

  1. Главная ссылка к новости (http://www.esecurityplanet.com...)
  2. OpenNews: Релиз Firefox-дополнения NoScript 2.0
  3. OpenNews: Увидел свет релиз DNS-сервера BIND 9.7.0
  4. OpenNews: На конференции EUSecWest будет представлен первый rootkit для Cisco
  5. OpenNews: Зафиксирован первый ботнет из Linux-маршрутизаторов
  6. OpenNews: Обнаружен новый ботнет из незащищенных маршрутизаторов с прошивкой на базе Linux
Автор новости: Sergey Ptashnick
Тип: К сведению
Ключевые слова: dns, rebinding, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, klalafuda, 00:04, 06/08/2010 [ответить] [смотреть все]    [к модератору]
  • –2 +/
    Мнда. Все гениальное обычно просто как 3 рубля :))) За простоту идеи - зачет.
     
     
  • 2.2, klalafuda, 00:14, 06/08/2010 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • –5 +/
    PS Да, как по всей видимости всем я думаю очевидно, это будет прекрасно работат... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.4, alen, 01:14, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    вот как всегда, мысль о том что другие оси так же уязвимы как и их пиратская вин... весь текст скрыт [показать]
     
     
  • 4.5, klalafuda, 01:20, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    А многие ли пользователи домашних маршрутизаторов меняли на нем дефолтный пароль... весь текст скрыт [показать]
     
     
  • 5.10, Поросеночек, 03:26, 06/08/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Многие.
     
     
  • 6.11, Аноним, 08:46, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    А ж целых 2 человека Эпопею с построением ботнета из маршрутизаторов работающ... весь текст скрыт [показать]
     
     
  • 7.13, XoRe, 09:42, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А там не к веб морде доступ был, а к консоли А в большинстве роутеров консольны... весь текст скрыт [показать]
     
     
  • 8.34, User294, 17:48, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Обычно рутовый пароль SOHO маршрутизаторов совпадает с тем что задано как админи... весь текст скрыт [показать]
     
  • 5.16, sHaggY_caT, 10:09, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Знаете, как-то сложилось, что nix пользуются люди, хоть что-то слышавшие об IT,... весь текст скрыт [показать]
     
     
  • 6.17, klalafuda, 10:14, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Ммм А вот те стотыщьобезьянок которым подешевке всучивают убунту на асусах и ... весь текст скрыт [показать]
     
     
  • 7.18, sHaggY_caT, 10:18, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Такие приглашают домой мастера , и дальше все зависит исключительно от его крив... весь текст скрыт [показать]
     
  • 7.21, Аноним, 10:31, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Они по самому факту покупки нетбука автоматически переходят в разряд покупателей... весь текст скрыт [показать]
     
  • 6.25, Аноним, 12:52, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    У меня около десяти знакомых с Linux не меняли дефолтный пароль на ADSL-рутерах,... весь текст скрыт [показать]
     
  • 5.32, xv, 17:42, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ты удивишься ... весь текст скрыт [показать]
     
     
  • 6.33, klalafuda, 17:43, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Мсье желает поделиться конкретной статистикой Просим просим Было бы очень любо... весь текст скрыт [показать]
     
  • 3.6, аноним, 01:29, 06/08/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    К чему это было сказано?
     
     
  • 4.7, klalafuda, 01:46, 06/08/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/

    JFYI
     
  • 1.3, Trend, 00:59, 06/08/2010 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    не могу понять, а что просто вшить 192.168.0.1 в код троянца сложно? Нахрена его разрешать с помощью внешнего днс? Или просто новость так неясно изложена.
     
     
  • 2.8, Ананимуз, 01:49, 06/08/2010 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Просто вшить , это делать XMLHttpRequest на другой домен, для чего нужны дополн... весь текст скрыт [показать] [показать ветку]
     
  • 2.9, smail01, 01:50, 06/08/2010 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Для того что бы получать команды и отправлять обратно аттакеру полученные данные... весь текст скрыт [показать] [показать ветку]
     
  • 2.12, Аноним, 09:06, 06/08/2010 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    XMLHttpRequest позволяет отправлять обращения только к домену на котором крутитс... весь текст скрыт [показать] [показать ветку]
     
  • 2.14, XoRe, 09:45, 06/08/2010 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    А у меня роутер имеет адрес 192 168 245 1 А вообще - если ты зашел на xxx com... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Аноним, 10:20, 06/08/2010 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Ваще-то как минимум на опере такая штука не пройдёт При редиректе с реальных IP... весь текст скрыт [показать]
     
     
  • 2.22, God, 10:59, 06/08/2010 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Rebind has been successfully tested against the following browsers IE6 Windows... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, Аноним, 08:42, 08/08/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Никто и не сомневался.
     
  • 2.23, ig0r, 11:10, 06/08/2010 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    а там нету редиректа на адреса из RFC1918 читайте внимательно ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.24, AAF, 12:26, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ключевой момент открыть web-страницу, содержащую специально подготовленный ... весь текст скрыт [показать]
     
     
  • 4.35, User294, 18:22, 06/08/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    NoScript в фирефоксе - рулит :-)
     
  • 2.26, Антон, 13:00, 06/08/2010 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Трояны давно через обычные сайты распространяются, особенно часто такое встречае... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.30, KOL, 16:15, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В данном случае, мало внедрить JS на сайт, необходимо еще и поиметь ДНС сервер п... весь текст скрыт [показать]
     
     
  • 4.31, klalafuda, 16:32, 06/08/2010 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вся Сеть просто завалена горами подставного мусора, которые тем не менее генерят... весь текст скрыт [показать]
     
  • 2.27, klalafuda, 13:20, 06/08/2010 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Простите, многие ли первоклашки задумываются об отношениях между полами А ведь ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, XoRe, 14:37, 06/08/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >> Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.
    >
    >Простите, многие ли первоклашки задумываются об отношениях между полами? А ведь таких
    >- подавляющее большинство.
    >
    >Да, кстати. Это ж ведь только тупая попытка войти админом на рутер.
    >Да. Совсем тупая. А ведь есть ещё UPnP, который обычно по-дефолту
    >включен и через который точно так же можно сделать массу интересных
    >вещей.

    Да, кстати.
    UPnP, открывающий доступ к 445 порту юзерского компа - веселая штука.
    Для этого даже не нужно пароля к роутеру.

     
     
  • 4.29, klalafuda, 14:46, 06/08/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Для этого даже не нужно пароля к роутеру.

    Именно...

    PS: Конечно, если UPnP на маршрутизаторе не запрещен. Обычно по дефолту он там разрешен. И существенно меньшая часть 'гуру' которые крутят их для SOHO вообще знает, что такое UPnP и с чем его едят. Как следствие - даже и не задумываются на тему 'А не выключить ли мне его?'.

     
  • 4.36, User294, 18:24, 06/08/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >UPnP, открывающий доступ к 445 порту юзерского компа - веселая штука.

    А он часто доступе с WAN? Или предлагается его такими же методами хакать?Так он же вроде UDP юзает? Как минимум JS тогда обломится. А всякая там ява с ее сокетами пусть идет нафиг, она вообще может крайне много нежелательно активности имеючи свой сокетный механизм который к тому же плевать хотел на настройки браузера.

     
     
  • 5.37, klalafuda, 19:27, 06/08/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > А он часто доступе с WAN? Или предлагается его такими же методами хакать?Так он же вроде UDP юзает? Как минимум JS тогда обломится. А всякая там ява с ее сокетами пусть идет нафиг, она вообще может крайне много нежелательно активности имеючи свой сокетный механизм который к тому же плевать хотел на настройки браузера.

    На, сходи, расширь свой кругозор. Пойдет только на пользу.

    http://upnp.org/sdcps-and-certification/standards/

     
  • 1.38, йййй, 22:06, 06/08/2010 [ответить] [смотреть все]    [к модератору]  
  • +/
    т.е. доступ из вне происходит через собственно скрип? А то как то новость новость путана написана.
     
     
  • 2.39, klalafuda, 22:36, 06/08/2010 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > т.е. доступ из вне происходит через собственно скрип? А то как то новость новость путана написана.

    Да, конечно. По крайней мере в той версии, что описана в новости. Но если сделать скрипт чуть поумнее и научить его, допустим, открывать снаружи вовнутрь порты на маршрутизаторе через UPnP (что не сложно), то в случае успеха потом уже можно и напрямую шуровать. Что куда как интереснее. Все-таки скрипт by design сильно ограничен в своих возможностях.

     
  • 1.40, Аноним, 00:39, 07/08/2010 [ответить] [смотреть все]    [к модератору]  
  • +/
    В жизни не пользовал ADSL-модемы в режиме роутера - только бридж...
     
     
  • 2.41, CoolKid, 13:11, 07/08/2010 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    >В жизни не пользовал ADSL-модемы в режиме роутера - только бридж...

    а разница какая? от этого он становится меньше уязвим?

     
     
  • 3.42, Аноним, 15:04, 07/08/2010 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    На интерфейсе, который торчит в модем нет ипы - до него просто не доберёшься)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor