Home Vulnerability อธิบาย ช่องโหว่ D-Link DSL-2740R Unauthenticated Remote DNS Change Exploit

อธิบาย ช่องโหว่ D-Link DSL-2740R Unauthenticated Remote DNS Change Exploit

SHARE

เกริ่น …

  • ปกติแล้วเร้าเตอร์ที่ใช้ตามบ้านทั่วๆไป
    จะถูกเรียกว่า SOHO Router (SOHO ย่อมาจาก “Small Office / Home Office)
  • Unauthenticated Remote DNS Change Exploit
    คือ ช่องโหว่ที่ แฮกเกอร์สามารถใช้เข้ามาเปลี่ยนค่า DNS ที่คุณๆ ตั้งค่าไว้
    โดยไม่ต้อง login หรือไม่ต้องใช้รหัสผ่านนั่นเอง
  • มันมีช่องโหว่อื่นๆ อีกเยอะนะ แต่ที่ไม่เอามาเขียน
    เพราะ ช่องโหว่ อื่น ถ้าผมรู้ ผมก็มักจะเงียบๆไว้ (จะได้ไม่มีใครเอามาซน)
    แต่ช่องโหว่ตัวนี้ ดันมีคนทำ code ออกมาแจกให้ใช้แฮกง่ายๆ แล้วน่ะ

 

เสริม …

  • ถ้าโดนเปลี่ยน DNS แล้วจะเกิดอะไรขึ้นบ้าง ?
    ยกตัวอย่างที่เคยเจอมา
    มีคนมาถามผมว่า คอมเพิ่งลง windows ใหม่ แต่เวลาเข้าเว็บ
    พบว่า มี popup ads โผล่ขึ้นมาประจำเลย ฯลฯ
    เช็คไปเช็คมา ถึงได้รู้ว่า เขาถูกเปลี่ยน ค่า dns
    ไปเป็น ip class หนึ่งของ เยอรมัน
    แล้ว dns นั่นก็จะแอบส่ง เว็บที่มี popup ads ขึ้นมาให้เขา
    [หรือถ้าเลวร้าย ก็จะเป็น popup ให้ update java, flash ฯลฯ (แต่เป็นไฟล์ โทรจันซะงั้น)] [ใครสงสัยว่า โทรจันคืออะไร แนะนำให้ดู VDO playlist นี้ StepHack.Com : รวมเรื่องโทรจัน]
  • ทำไมต้องเป็น เยอรมัน ?
    เพราะ ที่นั่น (และหลายๆที เช่น ชิลี ฯลฯ)
    มีบริการ offshore hosting และ offshore VPS ให้เช่าเยอะ
    ซึ่ง offshore พวกนี้คือ บริการให้เช่าทำเว็บอะไรก็ได้
    โดยไม่ขอข้อมูลคนเช่า และ ปิดเป็นความลับให้ด้วย O_o”
    ซึ่งเหมาะแก่การทำผิดที่ไม่อยากให้ตามตัวได้มากๆ
    (เว็บ สปน. ที่โดนแฮก ก็ ip มาจาก proxy server ของเยอรมัน เช่นกัน = =”)
  • ทำไปทำไม ?
    ยกตัวอย่างแรก การทำให้เครื่องคอม แสดง ads
    ผมมองว่านั่นคือการทำ black hat SEO (search engine optimize) รูปแบบหนึ่ง
    ซึ่งทุกครั้งที่มี ads โฆษณาเด้งขึ้นมา …
    คนที่ทำ จะได้เงินจากค่าแสดง ads นั่นเอง
    คิดตามง่ายๆ ว่า แสดง 1,000 ครั้ง คนที่ทำ น่าจะได้ซัก 30 บาท
    ถ้า 1 เครื่องแสดง ads ซักวันละ 1 ครั้ง
    แต่มีเครื่องที่โดนเปลี่ยน DNS ซัก 1 แสนเครื่อง
    ///คนทำก็ได้เงิน ((1*100000)/1000)*30 = วันละ 3,000 บาท
    ** ในงาน defcon18 ในปี 2010 .. แค่บางรุ่น บางยี่ห้อ พบช่องโหว่เกินล้านเครื่อง
    [ Defcon 18 – How to hack millions of routers- Craig Heffner ] ———-
    ยกตัวอย่างที่สอง ทำให้คอมติดโทรจัน
    ผมมองว่า เขาเอาเครื่องที่ติดโทรจันเหล่านี้
    ไปเป็น proxy server, ส่ง mail หลอก หรือ บริการรับจ้าง ddos อีกที
    คิดตามง่ายๆ … เหมือนอย่าง lizard team
    ที่เขาทำเว็บบริการรับ DDOS ซึ่งมีรายได้จากค่าเช่า 10-25$ ต่อคน
    แต่มีคนใช้งาน ประมาณ 8,000 คนนั่นแหละ
    ///คนทำก็ได้เงิน 10*8000*30 = 2.4 ล้านบาท

 

FYI

  • ISP หลายๆ เจ้าในไทย ทำ Large Scale NAT
    ซึ่งทำให้ Hack เข้ามาจาก ต่าง ISP ไม่ได้
    เช่น  แฮกเกอร์ที่ใช้ internet ของ  True จะแฮกผู้ใช้ที่ใช้เน็ตของ 3BB ไม่ได้
    ดังนั้น แฮกเกอร์ที่อยู่ ตปท. ก็จะแฮกเข้ามาไม่ได้เหมือนกัน (เพราะติด NAT นั่นเอง)
  • แม้อยู่หลัง NAT … แต่ ISP เดียวกันยังแฮกกันเองได้นะ !!
    เช่น hacker ใช้ 3BB ไล่แฮก 3BB หรือ ใช้ true ไล่แฮก true เป็นต้น

 

วิธีป้องกัน

  • ตั้งค่าไม่ให้ “IP ภายนอก” เข้ามา config เร้าเตอร์ของคุณได้
    จะอยู่ใน เมนู access control list (ACL) อ่ะ งมๆ โลด
    ดูยี่ห้อ+รุ่น ของ เร้าเตอร์คุณ แล้วงม google โดยใช้คำค้นประมาณว่า
    ‘d-link abc-1234 acl config’, ‘d-link abc-1234 acl howto’ ไรเงี้ย เป็นต้น
  •  หมั่น update firmware ของอุปกรณ์ที่ใช้งาน สม่ำเสมอ