Um ataque vem ocorrendo desde 2011 e tem causado problemas para milhares de usuários domésticos e até empresas no Brasil. O ataque consiste, basicamente, em alterar remotamente os servidores DNS dos modens e, com o DNS alterado, o usuário da rede, ao acessar sites legítimos como o próprio Google, é redirecionado para páginas falsas que podem solicitar dados pessoais ou pedir a instalação e softwares maliciosos. Os crackers aproveitavam as falhas de segurança em diversos dispositivos vendidos no Brasil
Como identificar o ataque?
Na maioria dos casos, quando o usuário acessa algum site como o Google, por exemplo, uma janela de execução do Java é aberta. Caso o usuário autorize a execução, um software malicioso é instalado no computador.
Erro de visualização do YouTube
Além de redirecionar páginas, os crackers descobriram uma forma de alterar qualquer página que possua o acompanhamento do Google Analytics. O script de acompanhamento (google-analytics.com/ga.js) era redirecionado para outro script, ou seja, ocorre uma “Injeção de Javascript” na página. O script malicioso poderia alterar todos os links da página, obter os valores dos campos de texto e, principalmente, campos de senha em páginas inseguras, fazer redirecionamentos, etc.
Em alguns casos, os sites que possuem o acompanhamento do Google Analytics, tinham seus links modificados e redirecionados para sites de publicidade como “protetores de link”. Quando o usuário clica em um link da página, o site é redirecionado para o protetor, o usuário precisa visualizar propagandas e aguardar para retornar a página verdadeira.
Como funciona o ataque?
Além da vulnerabilidade de firmware de alguns dispositivos que permitem acesso sem a senha, o ataque ocorria de varias formas .
Ataque Interno
Na forma mais comum, os cyber-criminosos aproveitam uma vulnerabilidade nas páginas de configuração dos modens ADSL. Geralmente as páginas de configuração dos modens ADSL não ficam disponíveis para serem acessadas na WEB, porém, o software auto replicável instalado por outra vítima é passado por mídias que por sua vez infectam computadores que estão ligados a rede, desta forma, o ataque ocorre via rede local. Com um simples POST HTTP o software malicioso conseguia alterar a senha do dispositivo.
Ataque Externo
O ataque externo é criado por meio de um script que varre uma faixa de IPs procurando vulnerabilidades nas portas 80 (página de configuração do modem) e 22 (porta padrão do SSH).
Ao descobrir um IP válido exposto na web, o script identifica a forma de autenticação (um simples formulário html ou HTTP Authentication) e identifica a marca e modelo do modem, e usa uma lista de senhas padrão para acessar a interface do modem e alterar o DNS.
Outra forma de ataque ocorre de forma parecida, porém, não é feita pela interface de configuração HTTP, mas sim pelo serviço SSH de alguns modems ou APs (principalmente com o sistema ApRouter).
Ao identificar um IP válido, o script tenta acessa a interface HTTP, sem sucesso verifica a porta 22 (SSH) e usa a senha padrão para fazer a autenticação (usuário root e senha em branco).
Exemplo
Conectar ao servidor SSH usando a senha padrão. Com ajuda do software Putty, podemos obter facilmente o usuário e a senha da interface de configuração HTTP do dispositivo.
192.168.0.1: Login as: root [email protected]'s password: BusyBox v1.1.2 Enter 'help' for a list of all built-in commands. # flash get USER_NAME USER_NAME='admin' #flash get USER_PASSWORD USER_PASSWORD='admin'
Com os comandos acima, o script consegue obter o usuário e senha da vítima. Adicionando mais algumas linhas de comando, o script consegue alterar o DNS, a senha da vítima, a senha do SSH, ativar o serviço de configuração web para permitir acesso externo, até mesmo reiniciar o modem com o comando “reboot” para aplicar as configurações imediatamente.
Como resolver/evitar o problema?
O usuário precisa acessar a página de configuração do modem, configurar o servidor DNS para um servidor confiável (o Google possui um servidor DNS confiável – IPs: 8.8.8.8 e 8.8.4.4), e em seguida alterar a senha padrão para uma senha mais complexa.
Executar um escaneamento completo nas maquinas da sua rede ajuda a identificar possíveis problemas.
É importante atualizar o firmware do dispositivo (modem), desativar o serviço SSH ou trocar a senha.
Se você for um Webmaster, a dica é NUNCA colocar Javascripts de servidores externos em páginas que necessitem de segurança, como páginas de login, por exemplo.
4 Comentários
O danado é que dependendo do modem, não acha atualização 🙁
Não é preciso saber muito para conseguir a senha de um modem domestico, tendo em vista que as empresas de internet padronizam o usuário a senha admin do modem, um modem com acesso via wireless as configurações do modem liberado, e a rede sem criptografia são alvos facies a qualquer um com o minimo de conhecimento em redes.
Tem uns scanner parecidos
http://blog.inurl.com.br/2015/02/scanner-routerhunterbr-10-explorando.html
http://blog.inurl.com.br/2015/03/roteadores-vulneraveis-passwordcgi.html
Para resolver é simples.
Desative todo e qualquer acesso WAN ao Modem, afinal ninguém precisa disso não é? Não usuários domésticos.