Dns rebinding kan aanvallers toegang tot lokale netwerk geven
Alleen door het openen van de verkeerde link of het zien van een advertentie kan een aanvaller toegang tot het lokale netwerk en achterliggende apparaten krijgen. Daarvoor waarschuwt onderzoeker Brannon Dorsey. De techniek die aanvallers hiervoor kunnen gebruiken wordt dns rebinding genoemd.
Het zorgt ervoor dat een aanvaller vanaf het internet de firewall van de gebruiker kan omzeilen en zijn browser kan gebruiken om direct met de apparaten op het thuisnetwerk te communiceren. Dns rebinding kwam de afgelopen maanden verschillende keren in het nieuws. Zo bleken games van gameontwikkelaar Blizzard, zoals StarCraft en World of WarCraft, hier kwetsbaar voor te zijn, alsmede de torrentclient Transmission en de Fritzbox-modems van fabrikant AVM.
De same-origin policy is een beveiligingsmaatregel die moet voorkomen dat een website die in de browser is geopend geen andere geopende websites kan benaderen. Ook zorgt het ervoor dat een script op een website geen toegang tot andere machines op het lokale netwerk kan krijgen. Een belangrijk onderdeel van de same-origin policy is het vergelijken van domeinnamen. Dns rebinding maakt hier gebruik van door het ip-adres van een domeinnaam snel te veranderen in een ander ip-adres.
Voor de browser gaat het nog steeds om dezelfde domeinnaam, maar wordt er wel een ander ip-adres geladen. Dit kan zowel een lokaal als extern ip-adres zijn. Op deze manier kan een aanvaller via de browser van de gebruiker bij lokale ip-adressen komen en zo toegang tot allerlei apparaten krijgen. Dorsey plaatste op Medium een uitgebreide uitleg over de werking van dns rebinding.
Ook ontdekte hij dat verschillende apparaten, zoals de Radio Thermostat CT50, Google Home, Chromecast, RokuTV en Sonos WiFi-speakers hiervoor kwetsbaar zijn of waren. Inmiddels is Roku met een update gekomen en doet Sonos dit volgende maand. Daarnaast zijn er verschillende maatregelen die eindgebruikers kunnen nemen, zoals het gebruik van OpenDNS dat verdachte ip-adressen in dns-verzoeken filtert. Een andere optie is het gebruik van Dnsmasq of het installeren van router-firmware zoals DD-WRT, aldus de onderzoeker.
https://www.security.nl/posting/379939/XS4ALL+gaat+FRITZ%21box-modems+klanten+op+afstand+updaten hebben ze wel automatisch gefixed. En ook voor een heleboel oude modellen van AVM.
Misschien tijd voor een nieuw modem..
behalve voor door jezelf expliciet opgegeven domeinen.
behalve voor door jezelf expliciet opgegeven domeinen.
welke firmware versie gebruik je?
https://www.security.nl/posting/379939/XS4ALL+gaat+FRITZ%21box-modems+klanten+op+afstand+updaten hebben ze wel automatisch gefixed. En ook voor een heleboel oude modellen van AVM.
Misschien tijd voor een nieuw modem..
Xs4all heeft heel zeker allang aangegeven dat je een 7360V2 kon krijgen. Die heeft gewoon wel de updates (en is ook heel veel stabieler dan de oude v1, er is nl een reden dat die niet meer gesupport worden)
Mijn 7360 v1 is anders heel stabiel hoor. En het is altijd zo'n gedoe met kabels en instellingen om een nieuw modem te vragen aan de helpdesk..
Volgens mij is de 7360 v1 ook nog wel veilig te noemen. Zolang je geen NAS of veel andere apparaten op je lokale netwerk hebt. Aan mijn lokale netwerk valt niet veel te ontdekken. Ook geen TV.
IPv6 heb ik uit staan in Windows 10. Ik weet niet of dat helpt. Ergens gelezen dat dat een mitigation is.
Ik beheer er vier, waarvan één met de beta
Model: FRITZ!Box 7581
FRITZ!OS: 06.85-50446 PLUS zowel als FRITZ!OS: 06.85
Beiden stellen:
"DNS Rebind Protection
FRITZ!Box suppresses DNS responses that refer to IP addresses in its own home network (DNS rebind protection). Here you can specify a list of domain names for which DNS rebind protection should not apply.
Domain name exceptions: "
"DNS Rebind Protection
FRITZ!Box suppresses DNS responses that refer to IP addresses in its own home network (DNS rebind protection). Here you can specify a list of domain names for which DNS rebind protection should not apply.
Domain name exceptions: "
Mijn 7360 v1 is anders heel stabiel hoor. En het is altijd zo'n gedoe met kabels en instellingen om een nieuw modem te vragen aan de helpdesk..
Volgens mij is de 7360 v1 ook nog wel veilig te noemen. Zolang je geen NAS of veel andere apparaten op je lokale netwerk hebt. Aan mijn lokale netwerk valt niet veel te ontdekken. Ook geen TV.
IPv6 heb ik uit staan in Windows 10. Ik weet niet of dat helpt. Ergens gelezen dat dat een mitigation is.
Die kabels is onzin, zelfde kabels, gewoon omhangen. Van de V1 een backup maken en teruglezen in de V2. Alles bij elkaar 10 minuten en je draait met de nieuwe versie.
En als je denkt dat je nu wel veilig bent, veel succes met je laatste firmware van 3 jaar geleden ;)
Als ik een nieuw type modem installeer, dan ga ik geen oude settings van een ander type modem importeren. Dat is net zo iets als de vroegere 'Upgrade' versies van Windows. Er gaat toch niets boven een verse installatie. Veel beter. (Als het al kan).
Bovendien wil ik geen v2, ik wil iets nieuwers. Liefst voorbereid op WPA3. WPA2-AES begint ook op zijn einde te lopen qua veiligheid. Volgens mij is de v2 ook al weer redelijk oud.
Ik zit trouwens al weer op mijn derde modem van XS4All. De voorlaatste was een Speedtouch 780. Dan is wat ik nu heb toch veel beter. De fabrikant van de Speedtouch bestond toen al niet meer. Dat ding begon echt onveilig te worden. Dat is bij AVM anders.
Om snelheid geef ik niet. Als ik maar youtube filmpjes in Full HD kan kijken zonder buffering. Één-persoons huishouden hier. (Wat ik met 5 F-Secure licenties moet weet ik ook niet, vind het een draak van een programma). En zoals ik al zei, mijn v1 is heel stabiel. Ik geloof dat het enige verschil met de v2 de hoeveelheid intern geheugen is. Minder firmware code moet in theorie toch veiliger zijn?!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.