DNS hijacking: tornano gli attacchi che alterano la procedura di risoluzione dei nomi a dominio

Sono tornati in auge gli attacchi di tipo DNS hijacking che consistono nella modifica della configurazione DNS del router usando meccanismi automatici.
L’aggressore ha così la possibilità di reindirizzare l’utente intenzionato a visitare un sito web assolutamente legittimo verso una pagina web malevola. Gli attacchi DNS hijacking facilitano anche le truffe online: digitando l’URL di un istituto bancario nel browser, la vittima sarà indirizzata verso una pagina web che imita il sito della banca. Inserendo le credenziali di autenticazione queste verranno immediatamente annotate dagli aggressori che poi provvederanno a riutilizzarle per sottrarre denaro e compiere furti di identità.

Della tecnica del DNS hijacking avevamo parlato nell’articolo DNS router, come verificare le impostazioni e usando F-Secure Router Checker oppure What’s my DNS server è possibile verificare di usare un DNS sicuro.

I ricercatori di Radware hanno riferito della scoperta di una nuova aggressione che prende di mira alcuni router D-Link più vecchi: DSL-2740R, DSL-2640B, DSL-2780B DLink_1.01.14, DSL-2730B AU_2.01 e DSL-526B ADSL2+ AU_2.01.

L’attacco si concretizza semplicemente visitando una pagina web malevola e senza alcun tipo di interazione da parte dell’utente: codice JavaScript prova le password di default per accedere al pannello di configurazione del router e richiama dnscfg.cgi per richiedere la modifica delle impostazioni DNS.
D’ora in avanti, tutte le richieste di risoluzione dei nomi a dominio passeranno per i server DNS malevoli gestiti dagli aggressori.

Quanto riferito da Radware ben evidenzia l’importanza di applicare tempestivamente gli aggiornamenti del firmware rilasciati dai vari produttori.