web-dev-qa-db-fra.com

Une personne sans connexion WiFi et sans accès physique à un routeur peut-elle toujours y accéder avec la connexion administrateur?

Si vous avez un routeur avec une connexion et un mot de passe par défaut pour la page d'administration, un pirate potentiel peut-il y accéder sans d'abord se connecter au LAN via la connexion WiFi?

wifirouter
50
Q-bertsuit

Cela peut être possible en utilisant contrefaçon de demande intersite . Dans cette attaque, l'attaquant déclenche une requête auprès de votre routeur, par exemple en incluant une image sur son site:

<img src="http://192.168.1.1/reboot_the_router?force=true">

Lorsqu'un utilisateur visite son site, cela déclenche une demande au routeur.

Le site de l'attaquant peut déclencher des requêtes, mais pas afficher les réponses. Tous les routeurs ne sont pas vulnérables à cela. La définition d'un mot de passe autre que celui par défaut protège certainement contre CSRF1.

Il existe des plans à bloquer de telles demandes dans le navigateur, mais celles-ci n'ont pas encore été implémentées.

Édition 1: la définition d'un mot de passe autre que par défaut protège contre CSRF dans certains cas. L'attaquant ne peut plus forger une demande de connexion à l'aide des informations d'identification par défaut. Cependant, si vous êtes déjà connecté au routeur, il peut utiliser votre session actuelle.

68
Sjoerd

Presque tous les routeurs sont configurés par défaut pour exposer uniquement l'interface d'administration au côté "LAN" et non à Internet. Certains routeurs ont la possibilité d'activer ou de désactiver cela, il serait donc bon de vérifier les paramètres de votre routeur.

Vous pouvez également tester cela en utilisant un scanner de ports en ligne ou ceci ShieldsUP! outil. Ceux-ci vérifieront s'ils peuvent accéder à quoi que ce soit sur votre routeur depuis Internet.

21
Sjoerd

Oui, facilement.

Il existe plusieurs façons pour un attaquant d'accéder à ce routeur. Voici quelques vecteurs d'attaque que j'ai sur ma tête:

Falsification de demande intersite

Fondamentalement, votre navigateur est connecté au LAN. Si vous naviguez sur une page hébergée sur le serveur de l'attaquant, votre navigateur y est également connecté. Par conséquent, via votre navigateur, le pirate peut accéder à la page d'administration de votre routeur. La capacité du pirate à obtenir une réponse dépend des spécificités de la mise en œuvre.

C'est encore plus facile si "navigateur" est remplacé par "fichier exécutable".

Vous pouvez vous référer au message de Sjoerd pour les détails techniques.

Page d'administration exposée

De nombreux routeurs ont la possibilité d'activer un accès externe à la page d'administration, en plus de l'accès interne.

Par exemple, votre routeur possède une adresse IP externe 8.8.8.8, tandis que l'IP interne est 192.168.0.X. Si l'accès externe est activé, n'importe qui sur Internet peut taper http://8.8.8.8 et consultez la page de connexion de l'administrateur de votre routeur.

Cette option est désactivée par défaut.

VPN

Le VPN est une autre fonctionnalité incluse dans la plupart des routeurs domestiques. Le but est de vous permettre d'accéder à votre réseau domestique de l'extérieur. Par définition, vous pouvez connecter la page d'administration du routeur une fois que vous êtes connecté au VPN.

Le VPN est probablement désactivé par défaut.

11
kevin
  • Si votre ordinateur est infecté par des logiciels malveillants, l'attaquant peut déjà avoir un accès à distance et donc être à l'intérieur de votre réseau domestique sans qu'il sache même si vous utilisez un câble LAN ou WLAN sur cet ordinateur particulier. (Il a besoin d'aide de votre part, comme ouvrir une pièce jointe à un e-mail ou visiter un site Web qui utilise un exploit zero-day pour votre navigateur. Mais l'ingénierie sociale est un ouvre-porte commun pour les pirates informatiques pour vous faire leur faire cette faveur.)
  • La même chose s'applique aux téléphones mobiles vulnérables (par exemple, un ancien Android pour lequel aucun correctif n'est plus fourni), car ils peuvent avoir été infectés dans un lieu public - disons, un WLAN d'aéroport non crypté.
  • Malheureusement, il peut y avoir des appareils IoT qui ne recevront probablement aucune mise à jour logicielle. Si une ampoule intelligente accepte des commandes via Bluetooth ainsi que WLAN et permet en quelque sorte d'injecter du code, elle peut être mise à jour avec un micrologiciel modifié de l'extérieur de votre maison, puis utilisée comme pont vers votre réseau domestique.
3
B from C

Cela est également possible via DNS Rebinding. L'attaque est expliquée en détail dans cet article mais en bref, si vous visitez un site Web malveillant (ou un site Web avec du code malveillant, comme dans une annonce ou XSS), il peut essentiellement inciter votre navigateur à créer une requête à votre routeur, sur votre réseau local, permettant à l'attaquant d'effectuer des modifications à distance.

Quelques citations pertinentes;

...historically, network routers themselves are some of the most common targets to DNS rebinding attacks... 

There are two common attack vectors that I’ve seen with DNS rebinding:

1. POSTing default credentials to a login page like http://192.168.1.1/loginto own router admin. Once the attacker has authenticated they have full device control and can configure the network as they please.

2. Using a router’s Internet Gateway Device (IGD) interface through UPnP to configure permanent port forwarding connections and expose arbitrary UDP & TCP ports on the network to the public Internet.

D'après ce que je comprends, cela nécessite un peu de configuration et est spécifique à l'interface avec laquelle vous traitez (c'est-à-dire qu'un script javascript ne fonctionnera pas avec chaque interface de routeur). La reliure DNS n'est pas limitée aux routeurs comme vous le lirez dans l'article.

1
n00b