Dois desenvolvedores brasileiros – um de Brasília outro de São Paulo – anunciaram hoje um programa capaz de localizar na internet roteadores vulneráveis à mudança de endereços DNS e extrair credenciais expostas. Quando isso acontece, os dispositivos passam a utilizar servidores DNS que não levam o usuário aos endereços corretos mas, sim, a endereços de interesse de quem fez a alteração. Essa manobra é provocada, por exemplo, pelo vírus DNSChanger, também chamado de “Internet doomsday”. Em novembro de 2011, o FBI descobriu uma rede de servidores DNS que atendiam o tráfego de milhares de computadores infectados com o DNSChanger. O FBI os substituiu por servidores autênticos mas abandonou-os em 2012, por economia.
O programa dos desenvolvedores brasileiros Cleiton Pinheiro (de São Paulo) e Jhonathan Davi (de Brasília) chama-se RouterhunterBR e funciona fazendo na internet uma busca em faixas de ip pré-definidas, ips aleatórias ou arquivo fonte. Após a busca, ele registra num arquivo de texto a lista dos endereços IPs considerados vulneráveis.
Tal script feito com a linguagem PHP analisa vulnerabilidades dos seguintes modelos:
01 – Shuttle Tech ADSL Modem-Router 915 WM
Tipo de vulnerabilidade: Unauthenticated Remote DNS Change Exploit
02 – D-Link DSL-2740R
Tipo de vulnerabilidade: Unauthenticated Remote DNS Change Exploit
03 – LG DVR LE6016D
Tipo de vulnerabilidade: Unauthenticated users/passwords disclosure exploitit
A ferramenta será de utilidade para as equipes de segurança. Ela pode ser baixada nos seguintes endereços:
https://github.com/googleinurl/RouterHunterBR
http://packetstormsecurity.com/files/author/11582/
Um vídeo com demonstração de uso está em
https://www.youtube.com/watch?v=Jrwp5UZgSg4