Discussion :

[Idelways]

Black Hat 2010 : « Comment pirater des millions de routeurs »
Et les mesures à prendre pour se prémunir contre les attaques par « DNS Rebinding »



Comme nous l'avons annoncé il y'a quelque jours (voir l'actualité: « Plusieurs millions de routeurs vulnérables à une technique d'exploit vieille de 15 ans, une variation de l'attaque par DNS rebinding menace »), le chercheur en sécurité Craig Heffner est venu au Black Hat 2010 pour présenter « Comment hacker des millions de routeurs ».

Il est revenu lors de son intervention sur la menace qui expose des millions de routeurs à des attaques externes qui permettent d'en prendre contrôle complet de se frayer un accès vers le réseau local.

Chaque réseau de routeur possède deux interface, externe WAN et interne LAN, l'interface WAN possède une IP publique tandis que l'interface LAN garde son IP privée. Cet ensemble est supposé empêcher qu'un utilisateur externe au réseau du routeur puisse accéder publiquement au réseau LAN.

Mais Heffner dit être en mesure de forcer le DNS rebinding pour exposer les IP privées et les « Binder » à l'IP publique. Heffner a ainsi développé une application appelée « Rebind » qui automatise l'ensemble de l'opération. Cet outil est d'ailleurs disponible gratuitement sur la plateforme d'hébergement Google Code.

Rebind est un bout de code JavaScript malicieux. L'utilisateur doit cliquer sur le lien pour exposer l'adresse IP privée à l'attaquant qui obtient ainsi l'accès au router et peut parcourir le réseau local de la cible et y placer les outils nécessaire pour détourner le réseau.

En plus de forcer le rebind pour accéder au réseau local, Heffner affirme qu’il serait potentiellement possible de transformer le routeur en proxy pour effectuer d'autres attaques.

Comme d'autres orateurs à la conférence Black Hat, Heffner n'a pas exposé cette faille de sécurité dans le détail. Il ne souhaite pas aider pirates mais prévenir les utilisateurs et les fournisseurs de services.

La première suggestion d'Heffner est de changer les règles de son firewall pour empêcher les IP externes de rebinder les adresse internes.

Il conseille également aux utilisateurs de routeurs domestiques de tout simplement désactiver l'interface d'administration.

Il préconise enfin de changer le mot de passe par défaut du routeur et de s'assurer que le pare-feu de ce dernier est à jour.

Heffner a prié les fournisseurs de services internet de mettre en place les mesures contre le DNS Rebinding avant de livrer leurs routeurs.

Décidément, avec ce Blach Hat 2010, plus rien ne semble sécurisé en informatique.

Source : Site du BlackHat 2010 et Rebind, sur Google Code


Lire aussi :

Plusieurs millions de routeurs vulnérables à une technique d'exploit vieille de 15 ans, une variation de l'attaque par DNS rebinding menace

La majorité des sites n'utiliserait pas correctement SSL, selon un chercheur au Black Hats 2010 : la crédibilité du protocole en jeu ?

La sécurité d'Android remise en question au BlackHat 2010 à cause de failles de Linux non-patchés et du système de permission

Les rubriques (actu, forums, tutos) de Développez :

Sécurité
Réseau
Systèmes

Et vous ?

Que pensez-vous des recommandations de Heffner ?
Et de son outil « Rebind » ?


En collaboration avec Gordon Fowler

[hatonis]

Il ne veut pas aider les pirates mais publie le code source...

[umeboshi]

critiquer sans apporter de solution, c'est super constructif...
c'est tellement bien de dévoiler une faille qui va poser problème à des milliers de personnes dans le seul but de se faire (re)connaitre...

surtout qu'on sait depuis des années que cette faille existe.

[h__raf]

La solution c'est tout simplement bloquer l'accès de l'extérieur à l'interface d'administration et utiliser un mot de passe fort, le problème c'est lorsque l'utilisateur ouvre une session sur le routeur dans ce cas l'attaque peut être réalisé avec succès donc il faut faire attention et se déconnecter le plus tôt possible et s'il est possible consulter que les sites de confiance lors de l'accès au routeur.
Ces précautions sont temporaires en attendant que les éditeurs des navigateurs corrigent cette vulnérabilité.

Corrigez-moi si je me trompe

[Flaburgan]

La première suggestion d'Heffner est de changer les règles de son firewall pour empêcher les IP externes de rebinder les adresse internes.

Voilà une solution il me semble. Et au passage, si quelqu'un a des détails sur comment faire ?