[simple_tooltip content='SPAccess'] [/simple_tooltip] [simple_tooltip content='SPAccess'] [/simple_tooltip] [simple_tooltip content='SPAccess'] [/simple_tooltip]
Categories: Securitate IT

Browserele, folosite pentru a deturna routerele utilizatorilor

 

 

 

Cercetătorii au descoperit un instrument de atac web conceput special pentru a exploata vulnerabilitățile din routere și a deturna setările lor DNS. 

 

Infractorii cibernetici au dezvoltat un instrument de atac web-based pentru a deturna routerele pe scară largă atunci când utilizatorii vizitează site-uri web compromise sau vizualizează anunțuri rău intenționate în browserele lor, scrie Smartnews.

Obiectivul acestor atacuri este de a înlocui serverele DNS (Domain Name System) configurate pe routere cu unele false, controlate de către atacatori. Acestea permit hackerilor să intercepteze traficul, să deturneze rezultatele interogărilor, să injecteze anunțuri false în paginile web și altele. 

DNS este precum un phonebook internet și joacă un rol critic. Acesta traduce numele de domenii, care sunt ușor de amintit de către oameni, în adrese numerice IP (Internet Protocol) pe care computerele trebuie să le cunoască pentru a comunică unele cu altele. 

DNS funcționează într-o manieră ierarhică. Atunci când un utilizator tastează numele unui website în browser, browserul solicită sistemului de operare adresa IP a site-ului. Sistemul de operare transmite o solicitare routerului loc, care apoi interoghează serverele DNS configurate pe el – servere rulate de furnizorul de servicii internet. Lanțul continuă până când cererea ajunge la serverul pentru numele de domeniu în discuție sau până când un server oferă informația din cache-ul sau. 

Dacă atacatorii intervin în acest proces în orice punct, pot răspunde cu o adresă IP falsă. Aceasta va păcăli browserul să caute site-ul pe un server diferit, unul care, spre exemplu, ar putea găzdui o versiune falsă, concepută pentru a fura datele de autentificare ale utilizatorilor. 

Cercetătorul independent de securitate cunoscut sub numele de Kafeine a observat recent atacuri drive-by lansate de pe site-uri compromise, care au redirecționat utilizatorii către un kit de exploatare neobișnuit web-based, conceput special pentru a compromite routerele. 

Utilizatorii Google Chrome au fost redirecționați către un server malițios care a încărcat codul proiectat pentru a determina modelele router folosite de către utilizatorii respectivi și pentru a înlocui serverele DNS configurate pe acele dispozitive. 

Mulți utilizatori presupun faptul că dacă routerele lor nu sunt setate pentru gestionare de la distanță, hackerii nu pot exploata vulnerabilitățile din interfețele de administrare web-based de pe internet, deoarece astfel de interfețe pot fi accesate doar din interiorul rețelelor local area. 

 Acest lucru este fals. Astfel de atacuri sunt posibile prin intermediul unei tehnici denumite cross-site request forgery (CSRF), care permite unui site rău intenționat să forțeze browserul unui utilizator să execute acțiuni rău intenționate pe un website diferit. Site-ul vizat poate fi interfața de administrare a router-ului, care poate fi accesată prin intermediul rețelei locale. 

Multe site-uri de pe internet au implementat apărări împotriva CSRF, însă routerele sunt lipsite, în general, de o astfel de protecție. 

Noul kit de exploatare drive-by descoperit de către Kafeine folosește CSRF pentru a detectă peste 40 de modele de routere de la o varietate de producători, inclusiv Asustek Computer, Belkin, D-Link, Edimax Technology, Linksys, Medialink, Microsoft, Netgear, Shenzen Tendă Technology, TP-Link Technologies, Netis Systems, Trendnet, ZyXEL Communications și HooToo. 

Atacul pare a fi fost executat pe scară largă. Potrivit lui Kafeine, în prima săptămână din luna mai, serverul de atac a primit aproximativ 250.000 de vizitatori pe zi. Cele mai afectate țări au fost SUA, Rusia, Australia, Brazilia și India, însă distribuția traficului a fot mai mult sau mai puțin globală. 

Pentru a se proteja, utilizatorii ar trebui să verifice periodic site-urile producătorilor pentru actualizări firmware pentru modelele lor de routere și să instaleze aceste actualizări, în special dacă conțin fix-uri de securitate. Dacă routerele le permit, aceștia ar trebui să restricționeze accesul la interfața de administrare la o adresă IP pe care dispozitivele nu o folosesc în mod normal, dar pe care o pot folosi manual pe computere atunci când trebuie să facă modificări în setările routerelor.  

 

 

 

Share
Publicat de
admin2

Stiri Recente

Conferința de Analiză de Risc – Ediția a V a

Ediția a V-a a Conferinței de analiză de risc va avea loc pe data de…

March 5, 2020

The Power of Video 2020

Roadshow-ul Power of Video, organizat de Milestone Systems, va demonstra diferite moduri în care conținutul…

March 5, 2020

Reținuți pentru complicitate la furt și tâlhărie

La data de 18 decembrie., polițiștii de investigații criminale din cadrul Poliției municipiului Roman au…

December 20, 2019

De ce să nu folosești rețelele WiFi publice gratuite și ce riști dacă o faci

Într-o lume cu abonamente la cu trafic de internet nelimitat, nu mai ai nevoie neapărat…

December 20, 2019

Atacuri de phishing şi malware, apărute în contextul celui mai nou film din seria ”Star Wars”

Cel mai recent film care continuă seria ”Star Wars” a atras atenţia atacatorilor chiar înainte…

December 20, 2019

Cercetați de polițiști pentru furturi din genți și buzunare

Polițiștii ieșeni au identificat trei bărbați și o tânără, bănuiți de furturi din genți și…

December 20, 2019