Vulnerabilità nei dispositivi locali sfruttabili da remoto: Chrome protegge gli utenti

Gli attacchi CSRF (Cross-Site Request Forgery) sfruttano la fiducia che un’applicazione Web ripone nelle richieste provenienti dai browser degli utenti autenticati. Questi tipi di aggressione si verificano quando un utente autenticato (che cioè ha già effettuato il login) esegue azioni non desiderate su un’applicazione alla quale è connesso. Il tutto senza esserne assolutamente consapevole.

Lo schema utilizzato in alcuni attacchi informatici piuttosto comuni, prevede che l’utente abbia effettuato il login su un certo sito Web vulnerabile ad aggressioni CSRF. La vittima accede poi a una pagina Web malevola, ospitata ad esempio su un nome di dominio completamente diverso. Il sito allestito dall’aggressore effettua a sua volta delle richieste HTTP/HTTPS verso il sito vulnerabile, sfruttando il fatto che l’utente ha già attiva una sessione autenticata.

I dispositivi collegati in rete locale possono essere aggrediti via Web: ecco come

Il firewall presente sulla maggior parte dei router e l’utilizzo del NAT (Network Address Translation) fanno sì i dispositivi locali, connessi in LAN, non siano direttamente raggiungibili dagli host remoti collegati alla rete Internet.

C’è però un’importante eccezione sulla quale gli sviluppatori Google hanno deciso di concentrarsi: immaginate un sito Web che, ad esempio, utilizzi il tag HTML iframe per richiamare via HTTP/HTTPS l’interfaccia di un dispositivo locale. Si pensi quindi a un sito malevolo che utilizzi codice simile al seguente:

<iframe href="https://admin:admin@router.local/set_dns?server1=xyz.xyz.xyz.xyz"></iframe>

In alcuni casi il protocollo WebRTC o altri meccanismi potrebbero “spifferare” l’indirizzo IP locale del dispositivo remoto. Da lì, un aggressore potrebbe stimare l’indirizzo IP di router, access point o di altri dispositivi collegati alla LAN altrui.

È comunque possibile che l’aggressore inserisca nel codice HTML del suo iframe riferimenti a un insieme di indirizzi IP locali o indirizzi mnemonici comunemente utilizzati per gestire un ampio ventaglio di dispositivi (ICANN vuole sostituirli con il TLD .internal). Qualora ad esempio esistesse una vulnerabilità che, come nell’esempio riportato in precedenza, consentisse di modificare server DNS inviando una semplice richiesta HTTP/HTTPS, un aggressore potrebbe reindirizzare tutte le richieste di risoluzione dei nomi a dominio, avanzate da tutti i client connessi a valle del router, verso un resolver DNS sotto il suo controllo. Il Santo Graal, insomma, di chi pone in essere attacchi phishing.

Chrome proteggerà gli utenti dagli attacchi remoti rivolti ai dispositivi connessi in rete locale

Poiché gli attacchi CSRF descritti non sono affatto inusuali, Google ha deciso di far Chrome in maniera tale da ridurre i rischi per gli utenti.

Nelle situazioni simili a quelle presentate al paragrafo precedente, Chrome mostrerà agli utenti un avviso informando su ciò che sta avvenendo e chiedendo se la connessione verso i dispositivi locali debba essere autorizzata oppure bloccata. In caso di mancata risposta, il browser Web Google bloccherà automaticamente qualsiasi tentativo di collegamento verso le risorse locali.

Al momento, tuttavia, Google fa presente che un eventuale nuovo caricamento della pagina Web (reload) comporterà l’approvazione della richiesta in quanto la richiesta di connessione verrebbe trattata come proveniente da un IP locale verso un altro IP locale.

I tecnici dell’azienda di Mountain View si stanno tuttavia confrontando anche su questo particolare aspetto: alla fine, infatti, le prossime versioni di Chrome potrebbero bloccare anche le richieste dopo il reload della pagina, se Private Network Access le avesse già negate in precedenza (visualizzazione del codice di errore BLOCKED_BY_PRIVATE_NETWORK_ACCESS_CHECKS).

Teniamo a precisare che la novità è al momento in fase di discussione e che potrebbe essere implementata nelle prossime versioni stabili di Chrome. Nel frattempo, il consiglio è ovviamente quello di installare le ultime versioni del firmware sui dispositivi locali (in particolare tutti quelli che integrano funzionalità server).

Credit immagine in apertura: iStock.com – Microsoft Bing Image Creator.