Nieuws
image

Verborgen admin-toegang op D-Link routers

maandag 11 januari 2010, 11:42 door Redactie, 11 reacties

Beveiligingsonderzoekers waarschuwen voor een verborgen administrator toegang op D-Link routers, waardoor malware en hackers het apparaat kunnen overnemen. Eerder kwam SourceSec Security al in het nieuws met het kraken van de CAPTCHA-beveiliging die D-Link routers gebruiken, maar het probleem dat men nu ontdekte is een stuk ernstiger. Daarmee is het mogelijk om de instellingen van de router zonder administrator wachtwoord te wijzigen.

D-Link routers beschikken over een tweede administratieve interface die het Home Network Administration Protocol (HNAP) gebruikt. HNAP vereist basale authenticatie, maar alleen het bestaan van HNAP op D-Link routers laat aanvallers en malware de CAPTCHA-beveiliging omzeilen. Verder is de HNAP authenticatie niet juist geïmplementeerd, waardoor iedereen de administratieve instellingen kan bekijken en wijzigen. HNAP is sinds 2006 in D-Link routers geïmplementeerd en kan niet worden uitgeschakeld. Er is dan ook geen oplossing voor het probleem, zo stellen de onderzoekers.

Alle modellen
De kwetsbaarheid is aanwezig in de HNAP-implementatie van de DI-524, DIR-628 en DIR-655 routers, maar de onderzoekers vermoeden dat waarschijnlijk alle D-Link routers sinds 2006 risico lopen. Naast het onderzoeksrapport heeft SourceSec Security ook de Proof-of-Concept tool "HNAP0wn" beschikbaar gemaakt.

Reacties (11)
11-01-2010, 12:29 door Anoniem
Ik vind het wel belangrijk om te weten of dit remote kan of niet. Nu niet de tijd om alles te lezen.

- dark
11-01-2010, 12:54 door Anoniem
Uit het artikel, p. 5 :

Any attacker inside the local network can perform administrative actions by simply sending the
appropriate SOAP request to the router.
A remote attacker will not have direct access to the HNAP interface. However, a remote attacker can
indirectly access the HNAP interface by performing a DNS rebinding attack and using JavaScript to
make XMLHttpRequests to the router [4]. The attacker's JavaScript can make administrative
modifications to the router when a user inside the local network browses to the attacker's Web page.
11-01-2010, 12:55 door Anoniem
Uit de pdf:

"Any malicious user or malware inside the network can easily modify router configuration settings
without any knowledge of the administrative password, and without needing to solve the Web
interface's CAPTCHA.
External attackers can lure internal users to infected Web sites in order to use the internal user's browser
to attack the router's HNAP interface."

Dus er is enkel toegang nodig tot een machine binnen het intern netwerk.
11-01-2010, 13:02 door Anoniem
A remote attacker will not have direct access to the HNAP interface. However, a remote attacker can
indirectly access the HNAP interface by performing a DNS rebinding attack and using JavaScript to
make XMLHttpRequests to the router [4]. The attacker's JavaScript can make administrative
modifications to the router when a user inside the local network browses to the attacker's Web page.
11-01-2010, 13:03 door Anoniem
Zeker door de NSA erin gezet..
11-01-2010, 13:07 door Skizmo
Door Anoniem: Ik vind het wel belangrijk om te weten of dit remote kan of niet. Nu niet de tijd om alles te lezen.
Dan moet je ook niet zeuren. Als je niet wil weten waar een slot voor is, moet je ook niet vragen om de sleutel vragen.
11-01-2010, 13:55 door Anoniem
Door Skizmo:
Door Anoniem: Ik vind het wel belangrijk om te weten of dit remote kan of niet. Nu niet de tijd om alles te lezen.
Dan moet je ook niet zeuren. Als je niet wil weten waar een slot voor is, moet je ook niet vragen om de sleutel vragen.

Tja, en dan staan er toch nog 3 reacties van mensen die dit toch heeeeeel erg graag voor "- dark" uitgezocht hebben.

//// Ga ik de volgende keer ook doen....."geen zin.....ik bedoel geen tijd om te lezen, maaruh hoe werkt het eigenlijk".
11-01-2010, 16:00 door lievenme
er zijn nog vriendelijke mensen op security.nl en niet enkel zeurpieten
11-01-2010, 17:24 door Anoniem
Ik heb het voor mezelf uitgezocht, en heb het meteen maar gedeeld. Omdat het ook mijn eerste vraag was na het lezen van het artikel. Eerder een suggestie voor de auteur van het artikel, om deze informatie de volgende keer gelijk op te nemen.
11-01-2010, 23:10 door Anoniem
En er zijn mensen die spammen.
16-01-2010, 13:17 door Anoniem
Hey zageventen.

Ik zat op dat moment op het werk. Er zijn dus ook mensen met een job jullie werkschuw tuig. Ik wou gewoon snel weten of het remote kon of niet om een toch wel vrij duidelijke reden. Bedankt aan degenen die een antwoord gegeven hebben.

De rest van jullie zagers kunnen de hoogste boom in. Wat voor een community verziekers zijn jullie zeg. Tnx voor de hulp!

- Dark
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search