Falhas de segurança em modens ADSL

Além de redirecionar páginas, os crackers descobriram uma forma

de alterar qualquer página que possua o acompanhamento do

Google Analytics. O script  de acompanhamento

(google-analytics.com/ga.js) era redirecionado para outro

script, ou seja, ocorre uma “Injeção de Javascript” na página.

O script malicioso poderia alterar todos os links da página,

obter os valores dos campos de texto e, principalmente, campos

de senha em páginas inseguras, fazer redirecionamentos, etc.

Em alguns casos, os sites que possuem o acompanhamento do

Google Analytics, tinham seus links modificados e

redirecionados para sites de publicidade como “protetores de

link”. Quando o usuário clica em um link da página, o site é

redirecionado para o protetor, o usuário precisa visualizar

propagandas e aguardar para retornar a página verdadeira.

Como funciona o ataque?

Além da vulnerabilidade de firmware de alguns dispositivos que

permitem acesso sem a senha, o ataque ocorria de varias formas

.

Ataque Interno

Na forma mais comum, os cyber-criminosos aproveitam uma

vulnerabilidade nas páginas de configuração dos modens ADSL.

Geralmente as páginas de configuração dos modens ADSL não ficam

disponíveis para serem acessadas na WEB, porém, o software auto

replicável instalado por outra vítima é passado por mídias que

por sua vez infectam computadores que estão ligados a rede,

desta forma, o ataque ocorre via rede local. Com um simples

POST HTTP o software malicioso conseguia alterar a senha do

dispositivo.

Ataque Externo

O ataque externo é criado por meio de um script que varre uma

faixa de IPs procurando vulnerabilidades nas portas 80 (página

de configuração do modem) e 22 (porta padrão do SSH).

Ao descobrir um IP válido exposto na web, o script identifica a

forma de autenticação (um simples formulário html ou HTTP

Authentication) e identifica a marca e modelo do modem, e usa

uma lista de senhas padrão para acessar a interface do modem e

alterar o DNS.

Outra forma de ataque ocorre de forma parecida, porém, não é

feita pela interface de configuração HTTP, mas sim pelo serviço

SSH de alguns modems ou APs (principalmente com o sistema

ApRouter).

Ao identificar um IP válido, o script tenta acessa a interface

HTTP, sem sucesso verifica a porta 22 (SSH) e usa a senha

padrão para fazer a autenticação (usuário root e senha em

branco).

Veja

Conectar ao servidor SSH usando a senha padrão. Com ajuda

do software Putty, podemos obter facilmente o usuário e a senha

da interface de configuração HTTP do dispositivo.

192.168.0.1:
Login as: root
root@192.168.0.1's password:
BusyBox v1.1.2
Enter 'help' for a list of all built-in commands.
# flash get USER_NAME
USER_NAME='admin'
#flash get USER_PASSWORD
USER_PASSWORD='admin'

Com os comandos acima, o script consegue obter o usuário e

senha da vítima. Adicionando mais algumas linhas de comando, o

script consegue alterar o DNS, a senha da vítima, a senha do

SSH, ativar o serviço de configuração web para permitir acesso

externo, até mesmo reiniciar o modem com o comando “reboot”

para aplicar as configurações imediatamente.

Como resolver o problema?

O usuário precisa acessar a página de configuração do modem,

configurar o servidor DNS para um servidor confiável (o Google

possui um servidor DNS confiável – IPs: 8.8.8.8 e 8.8.4.4), e

em seguida alterar a senha padrão para uma senha mais complexa.

Executar um escaneamento completo nas maquinas da sua rede

ajuda a identificar possíveis problemas.

É importante atualizar o firmware do dispositivo (modem),

desativar o serviço SSH ou trocar a senha.

Se você for um Webmaster, a dica é NUNCA colocar Javascripts de

servidores externos em páginas que necessitem de segurança,

como páginas de login, por exemplo.