Oltre 77 routers Cisco vulnerabili al drive-by pharming.
Massimo Rabbi | 22 February 2007 | 11:54Cisco Systems Inc. ha avvertito di come ben 77 modelli delle proprie linee di prodotti sia potenzialmente vulnerabili ad un tecnica denominata “drive-by pharming”.
Questo tipo di attacco è stato per la prima volta scoperto e descritto nel dettaglio da un ricercatore della Symantec Corp. e da due ricercatori universitari dell’Indiana.
Il loro lavoro è riportato nel seguente paper.
A questo indirizzo è invece disponibile l’advisory rilasciato da Cisco sui modelli di routers interessati dal problema.
Il primo consiglio è quello naturalmente di cambiare username e password di default richieste per accedere alla configurazione del router e di disabilitare il servizio HTTP del dispositivo.
Nei tipi di attacco di pharming tradizionale avviene per lo più che l’attaccante rediriga l’utente che sta tentando di visitare un sito web, verso un sito fasullo/malevole appositamente creato, magari per rubare dati sensibili o installare malware sul computer dell’ignaro utente. Il pharming tipicamente viene messo in pratica procedendo ad una modifica del file host locale o comunque manipolando il meccanismo di funzionamento del DNS.
Il Drive-by pharming invece è un’evoluzione molto più subdola di questo tipo di attacco, in cui qualora un utente visiti un sito web malevole, un attaccante può essere in grado di modificare le impostazioni DNS di un router broadband o di un access point.
E’ chiaro che questo può quindi avere un effetto su tutti gli altri pc collegati alla stessa LAN e che usano il router per uscire all’esterno su Internet.
Naturalmente questo tipo di attacco ha successo quando i router non sono protetti da password o comunque mantengono le password di default (pratica molto comune).
Il Drive-by pharming fa uso del Javascript per modificare i settaggi del router: quando un utente clicca su un link malevole, viene eseguito del codice Javascript che consente di modificare come dicevamo le impostazioni DNS del router dell’utente.
Da quel momento in poi quindi, tutte le risoluzioni di nomi DNS verrano gestite e passeranno attraverso l’attaccante, che come è molto probabile le userà per rubare password d’accesso a siti bancari, e-commerce o di altri tipo.
