Une attaque DNS à grande échelle utilise les routeurs

Des chercheurs ont découvert un outil d’attaque DNS web qui permet à des pirates de détourner les serveurs DNS des routeurs et de les remplacer par des serveurs voyous.

Des cybercriminels ont développé un outil d’attaque DNS web à grande échelle qui leur permet d’exploiter les vulnérabilités des routeurs et de détourner leurs paramètres DNS quand les utilisateurs visitent des sites web compromis ou sont dirigés vers des publicités malveillantes depuis leurs navigateurs. L’objectif de ces attaques est de remplacer les serveurs DNS configurés sur les routeurs par des serveurs voyous contrôlés par des attaquants. Ainsi, les pirates peuvent intercepter le trafic, le rediriger vers des sites frauduleux, détourner les requêtes de recherche, injecter des publicités malveillantes sur les pages web et plus encore.

L’adresse DNS, qui est comparable à un annuaire de l’Internet, a un rôle essentiel. Elle traduit les noms de domaine, plus faciles à mémoriser, en adresses IP indispensables pour faire communiquer les ordinateurs entre eux. La gestion des adresses DNS se fait en cascade. Quand un utilisateur tape le nom d’un site Web dans un navigateur, la requête est d’abord transmise au système d’exploitation. Et, pour diriger le navigateur vers l’adresse IP demandée, le système d’exploitation doit passer par le routeur local qui est lui-même chargé d’interroger les serveurs DNS généralement configurés et gérés par le fournisseur d’accès internet. La chaîne de commandes se poursuit jusqu’à ce que la demande parvienne au serveur ayant autorité pour le nom de domaine recherché ou jusqu’à ce qu’un serveur fournisse les informations de son cache. Or, si des attaquants d’immiscent dans une des étapes du processus, ils peuvent répondre à la requête en renvoyant une adresse IP frauduleuse. Ils peuvent ainsi tromper le navigateur et l’orienter vers le site d’un serveur différent. Typiquement, ce site pourrait, par exemple, héberger la réplique d’un site réel qui servirait aux pirates à dérober des informations de connexion d’un utilisateur.

Les principaux routeurs vulnérables

Le nouveau kit d’exploits drive-by identifié par Kafeine a utilisé la technique du Cross-Site Request Forgery pour détecter plus de 40 modèles de routeur de divers fournisseurs dont Asustek Computer, Belkin, D-Link, Edimax Technology, Linksys, Medialink, Microsoft, Netgear, Shenzhen Tenda Technology, TP-Link Technologies, Netis Systems, Trendnet, ZyXEL Communications et HooToo. Selon le modèle, l’outil essaie de changer les paramètres DNS du routeur en exploitant des vulnérabilités connues par injection de commande ou en utilisant des identifiants d’administration courants. Dans ce cas aussi, il utilise la technique CSRF. Et en cas de succès de l’attaque, le serveur DNS primaire du routeur passe sous contrôle des attaquants et le serveur secondaire, utilisé comme relais en cas de panne, est paramétré en tant que serveur DNS public de Google. De sorte que, si le serveur malveillant est temporairement hors service, le routeur disposera toujours d’un serveur DNS parfaitement fonctionnel pour résoudre les requêtes, et le propriétaire ne pourra pas soupçonner une défaillance, ni être tenté de reconfigurer l’appareil.

Selon Kafeine, l’une des vulnérabilités exploitées par l’attaque affecte les routeurs de divers fournisseurs, et a été rendue publique en février. « Certains fournisseurs ont effectué des mises à jour de firmware sur leurs routeurs, mais le nombre de matériels mis à jour au cours des derniers mois reste probablement très faible », a déclaré le chercheur. Car la plupart des routeurs doivent être mis à jour manuellement et l’opération exige certaines compétences techniques. Voilà pourquoi un grand nombre de routeurs ne sont pas mis à jour. Et les attaquants le savent. En fait, d’autres vulnérabilités sont ciblées par ce kit d’exploits, dont l’une a été identifiée en 2008 et l’autre en 2013.

Un article de LMI du 28/05/2015.