A böngészőn keresztül feltérképezhető és támadható a vállalati hálózat
Biztonsági szakértők olyan módszert fedeztek fel, amely a böngészőben futó JavaScriptek által képes feltérképezni egy otthoni vagy vállalati hálózatot és megtámadni a hálózati eszközöket. Az ártó szándékú JavaScriptet tetszőleges weboldalba be lehet ágyazni és amikor a felhasználó megnyitja az oldalt, a kód mindenféle figyelmeztetés nélkül lefut a böngészőben.
Feltérképezés és támadás!
"Olyan technikát fedeztünk fel, amely feltérképezi a hálózatot, megvizsgálja az összes kapcsolódó eszközt és támadást intéz ellenük" -- mondta Billy Hoffman, az SPI Dynamics webes biztonsági cég rendszermérnöke. "Ez a technika lehetővé teszi a védett, például vállalati tűzfal mögött található hálózatok feltérképezését is." A támadók elméletileg képesek egyenként azonosítani az összekapcsolt hálózati eszközökat és aztán parancsokat küldeni nekik, vagy egy hálózat feltérképezése után támadást indítani a szerverek ellen.
"A böngészőn keresztül támadható a teljes belső hálózat" -- mondta Jeremiah Grossman, a WhiteHat Security műszaki igazgatója. A két cég egymástól függetlenül talált rá a sérülékenységre, amelyről bővebb beszámolót a héten Las Vegasban zajló Black Hat biztonsági konferencián tartanak. Szakértők szerint a módszer ellen szinte lehetetlen védekezni, illetve a rés befoltozása után számos webes alkalmazás sem működne.
A program először kiolvassa a PC belső hálózati címét, majd szabványos JavaScript parancsokkal és függvényekkel feltérképezi a belső hálózatot, beleértve az összes, hozzá kapcsolódó készüléket, mint amilyenek a nyomtatók, a routerek vagy akár az IP-telefonok. A BlackHat konferencián az SPI Dynamics be fog mutatni egy teljes támadást, amelynek során feltérképezik a hálózatot és behatolnak egy DSL-routerbe is, majd módosítják a beállításokat, végül átveszik az uralmat az egész hálózat fölött.
JavaScript-támadások hajnala
Bár már korábban is léteztek ártó szándékú JavaScriptek, a bűnözők nem igazán foglalkoztak velük, inkább a böngészők sérülékenységeire koncentráltak. Az elmúlt években készültek a hálózatot feltérképező JavaScriptek, de egyik sem volt olyan fejlett mint az SPI Dynamics által bemutatott megoldás. Az ilyen támadások ellen a PC-tulajdonosok nem is nagyon tudnak védekezni, a webszerverek üzemeltetőinek kell gondoskodnia arról, nehogy bűnözők feltörjék az oldalakat és az ártó szándékú kódot elhelyezzék benne.
Biztonsági szakértők szerint a JavaScript-alapú támadások még gyerekcipőben járnak, azonban az elkövetkező évek során egyre több és fejlettebb ártó kód megjelenése várható.