Essa vulnerabilidade foi descrita por Bogdan Calin e pode afetar vários modelos dessas e de outras marcas. Apesar de ter sido encontrada no final do ano de 2012, essa vulnerabilidade provavelmente não foi corrigida, tendo em vista que raramente é feita a atualização do firmware desses aparelhos.
Apartir dessa vulnerabilidade é possível realizar um ataque que pode alterar o servidor DNS utilizado pelo roteador da rede interna de uma vítima. O ataque ocorre através da interface de controle web do roteador vulnerável, que permite que os servidores de DNS sejam alterados através de uma requisição do tipo GET. Obviamente, essa interface de controle exige dados de autenticação para que a requisição seja bem sucedida, mas infelizmente a maioria dos usuários não alteram os dados de login e senha fornecidos pelo fabricante do aparelho. Isso permite que seja montada uma url de ataque parecida com essa:
http://admin:admin@192.168.0.1/start_apply.htm?wan_dns1_x=6.6.6.6&wan_dns2_x=6.6.6.6
Obs.: Perceba que nesse ataque está sendo suposto que o usuário e a senha de acesso ao aparelho são a string 'admin'
Utilizando essa técnica é necessário apenas que a vítima clique em um link contendo a url de ataque para que tenha seu servidor de DNS alterado para um que esteja sobre o controle do atacante. Entre outras possibilidades, isso permitiria redirecionar os clientes do roteador afetado para páginas falsas( fakes ) e, apartir dessas, coletar dados de autenticação das vítimas.
É claro que dependendo da vítima, o link poderia ser reconhecido como algo malicioso e portanto talvez não fosse clicado, mas Bogdan utilizou os princípios do CSRF para tornar a requisição da url de ataque independente do acionamento(clique) da vítima. Basicamente, ele inseriu a url de ataque na propriedade src de uma imagem, dessa forma o próprio navegador faz a requisição sem que a vítima perceba. Isso também permitiu aumentar as chances de sucesso do ataque, pois foi possível realizar várias requisições diferentes, podendo assim fornecer diversos dados de login na esperança de que algum esteja correto e altere o roteador da vítima. Segue um exemplo do que Bogdan poderia ter feito:
<img src="http://admin:admin@192.168.0.1/start_apply.htm?wan_dns1_x=6.6.6.6&wan_dns2_x=6.6.6.6" /> <img src="http://admin:qwerty@192.168.0.1/start_apply.htm?wan_dns1_x=6.6.6.6&wan_dns2_x=6.6.6.6" /> <img src="http://admin:123123@192.168.0.1/start_apply.htm?wan_dns1_x=6.6.6.6&wan_dns2_x=6.6.6.6" /> <img src="http://admin:12345678@192.168.0.1/start_apply.htm?wan_dns1_x=6.6.6.6&wan_dns2_x=6.6.6.6" /> <img src="http://admin:master@192.168.0.1/start_apply.htm?wan_dns1_x=6.6.6.6&wan_dns2_x=6.6.6.6" /> <img src="http://admin:password@192.168.0.1/start_apply.htm?wan_dns1_x=6.6.6.6&wan_dns2_x=6.6.6.6" />
Dessa forma ainda seria necessário fornecer um link para que a vítima clique, e só depois entre em um página com essas "imagens" no código html, mas nesse caso o link fornecido é muito mais inocente do que a url de ataque. Com essa adaptação qualquer usuário idependente do conhecimento pode ser vítima desse ataque, afinal quem não clicaria em um simples .html?
Referências: https://www.acunetix.com/blog/web-security-zone/the-email-that-hacks-you/