пятница, 19 октября 2018 г.

Марсианские хроники


Вчера один мой коллега зафиксировал в своей инфраструктуре атаку DNS rebinding.

Выглядело это достаточно интересно (чувствительные данные забиты звездочками):

 1519366363.932  8801 192.168.55.1 TCP_MISS/503 4094 POST http://idol3-1.tclclouds.com/ostore-api/api/screen1update - ORIGINAL_DST/192.168.33.33 text/html  
 1519384483.868  7999 192.168.55.1 TCP_MISS/503 5074 GET http://lscreen.tclclouds.com/api/ping?version_code=817120102&CU=5056D-2GALAP1-1&version_name=v7.0.1.0.1201.2&network=WIFI&expect_server_compress=0&country=GB&imei=356************%23382209c93e068395%23020000000000&screen_size=1280%23720&id=lscreen&language=en_GB&os_version=6.0.1&imsi=415************&os_version_code=23&model=5056D -  

Занимая приличную полосу, протрояненное устройство сливало такие вещи, как IMEI/IMSI, и массу других чувствительных вещей.

Речь, однако, не о том, что произошла атака. А о том, как она произошла.

Взгляните на

ORIGINAL_DST/192.168.33.33

Ничего не замечаете?

Праааавильно, марсианский адрес!

Вопрос - почему он смог пересечь бордер?

Речь даже не о том, что SOHO-вендор не предусмотрел минимальных security defaults - нет, ну правда, а вдруг пользователем окажется какой-нибудь дивапс? :)))))))) Который понятия не имеет ни о каких марсианских адресах?

Речь о том, что DNS rebinding и IP-spoofing (а мы в данном случае видим канонический IP-spoofing) могли быть тривиально не допущены просто правильной изначальной конфигурацией роутера.

К черту кодекс Я не сторонник тупого следования всем без исключения RFC, но в данном конкретном случае RFC6890, древний, как говно мамонта, должен быть тупо применен на этапе начального конфигурирования активки. И все! Проблема бы просто не возникла!

С марсианскими сетями шутки плохи. Особенно когда они и на бордере разрешены, и на рекурсоре нет явного запрета на внешний доступ по таким адресам. В этом случае DNS rebinding просто в спину дышит и это лишь вопрос времени, когда устройства в вашей сети будут атакованы, особенно с учетом тотального раздолбайства пользователей. Которое, кстати, для админов просто недопустимо. Даже для дивапсов.