Recentemente l’azienda che produce i router D-Link ha introdotto nei suoi modelli un tipo di protezione largamente utilizzata in molti servizi online che prevedono una forma di autenticazione protetta.
Si tratta dei filtri CAPTCHA, utilizzati con lo scopo di evitare che un bot automatico possa oltrepassare una pagina per registrarsi ad un servizio, effettuare spam o agire mettendo in pericolo la sicurezza dell’utente.
Il filtro di questo tipo integrato nelle pagine per le impostazioni dei router D-Link doveva servire a prevenire i cambi automatici delle impostazioni dei DNS della connessione ad Internet effettuati da alcuni malware che automaticamente modificano questi dati per reindirizzare la connessione verso server pericolosi.
Secondo una ricerca effettuata dalla società SourceSec, questi filtri in realtà servono a ben poco, perché presentano una falla che permetterebbe di oltrepassare la protezione addirittura senza nemmeno la necessità di indicare una frase correttamente o completamente ricopiata dall’immagine del CAPTCHA.
L’attacco può avvenire tramite un codice JavaScript che non richiede nemmeno che nel sistema sia installato uno specifico malware. Il problema può presentarsi infatti semplicemente visitando dei siti contenenti il codice malevolo in questione.
La pagina delle impostazioni del router viene caricata e l’azione del codice permette di oltrepassare la protezione. Vengono raccolte le tracce lasciate dal router che poi verranno utilizzate per creare i dati di login necessari per effettuare l’accesso con piena autorizzazione per effettuare le modifiche.
I dati di accesso (con una password vuota di default) vengono inviati alla pagina “post_login.xml”. In seguito viene effettuata una richiesta alla pagina “wifisc_add_sta.xml” attivando il WPS. A quel punto il truffatore può connettersi alla rete.