Il giorno 02/feb/08, alle ore 18:11, GDepalma ha scritto:
Quello che mi sconcerta è che, secondo l'articolo, sarebbe possibile
modificare la configurazione di un router senza essere in possesso
delle
password
[...Da Symantec si osserva come questo tipo di attacco, sferratto su
un
preciso modello di router, non richieda nemmeno la conoscenza delle
credenziali amministrative del dispositivo...]
Io credo che per poter attuare un'attacco del genere sia necessario
come
minimo che il router esponga il servizio 80 all'esterno.
Per come ho capito io l'attacco, il suo funzionamento _presuppone_ che
il router abbia un'autenticazione nulla o con password di default (uno
script javascript potrebbe identificare il banner del router e poi
cercare la password di default in siti tipo www.routerpasswords.com o
ancora fare un breve attacco di brute force con quelle più classiche),
non è che sia in grado di modificare la tabella DNS del router senza
autenticarsi. Non credo sia necessario che la porta 80 sia aperta
dall'esterno, per portare a termine l'attacco penso che basti lo sia
in locale. Anche perchè non fosse così quest'attacco avrebbe davvero
poche possibilità di concretizzarsi: di default la 80 è unicamente
visibile in locale in (quasi) tutti i router, e chi modifica quel
parametro per renderla visibile anche all'esterno di solito è anche
abbastanza lungimirante e smaliziato da impostare una password decente..
Per quanto riguarda
le password poi mi sembra chiaro che se si lascia quella di default
non
serva neanche scervellarsi poi troppo con attacchi dai nomi fantasiosi
Gianfranco
E' quello che ho pensato pure io quando ho letto la prima volta del
funzionamento di quest'attacco.. L'idea di sfruttare su larga scala
questa debolezza è comunque interessante.
Alberto Trivero
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
