Proof of concept : Attaque sur les routeurs des internautes

Message par **Malekal_morte** » 19 févr. 2007 22:03

Le "Drive-By Pharming" est un nouveau type d'attaque découvert par Zulfikar Ramzan de chez Symantec et qui touche les routeurs « familiaux » (PDF). Pour l'instant, ce n’est qu’un « proof of concept », mais l'idée est si simple qu'elle devrait faire rapidement des petits, au grand dam des utilisateurs.

De fait, explique le chercheur de Symantec, une attaque devient alors facilement envisageable : en visitant une page web piégée, un javascript est lancé, et donc exécuté sur votre machine. Sa mission première sera d’essayer d'accéder à l'interface web de votre routeur (via des IP privées connues) et tester les mots de passe administrateurs par défaut qu’on retrouve dans les documentations officielles.

Si la brèche est ouverte, l'attaque la plus simple consiste alors à modifier la configuration DNS du routeur pour qu'elle pointe sur un DNS pirate. À partir de là, le phising d’un site devient très délicat à détecter, car, même si dans la barre de votre navigateur l'adresse du site visé (votre banque, paypal, etc. par exemple) est bien correcte, tout le trafic sera redirigé vers l'IP du site pirate.

Source : http://www.pcinpact.com/actu/news/34765 ... Ramzan.htm

Message par **Malekal_morte** » 12 juin 2008 15:51

Trojan.DNS semble avoir ouvert le feu en premier : trojan-win32-dnschanger-et-routeurs-tro ... 11987.html puisque certaines variantes modifieraient la configuration DNS au niveau du routeur.

Cyborg · Message par **Cyborg** » 13 juin 2008 14:43

Pour attaquer le routeur d'une boite, il faut forcément commencer par attaquer le PC du client puis remonter? Il n'y avait pas de moyen, jusque là, d'attaquer directement la boiboite?

Dans ce cas-là, il y a quoi comme moyen pour s'en rendre compte à partir de la page de configuration de ladite boiboite/routeur?

Message par **Malekal_morte** » 13 juin 2008 16:12

Les routeurs qui partagent la connexion internet ont un pied sur internet et l'autre sur le res local (bon après, peut y avoir une DMZ blalblalba)... enfin je parle dans le cas de monsieur tout le monde.
Les entreprises je m'en tape, elles ont les moyens de sécu leurs infrastructures.

Bref, la partie internet, on peut imaginer n'importe quoi...
Page Web du routeur accessible donc bruteforce sur username/password possible.
Failles de sécu sur le routeur
etc.

Cyborg · Message par **Cyborg** » 13 juin 2008 20:03

Tiens, c'est pas idiot, ça. On peut simplement profiter d'une faille de sécurité identifiée.
Néanmoins, j'avais oublié la partie réseau. La page de config des boites classiques (Free, Neuf, Orange, etc) est-elle accessible via le net? Ou seulement à partir du réseau local?

Car dans ce cas, on revient au départ du sujet : obligé d'attaquer le PC avant d'attauqer le routeur...

Message par **Malekal_morte** » 14 juin 2008 09:46

Free c'est sur le site WEB (je crois)... donc par internet oui.

Malekal's forum

Malekal's forum